当前位置: 资讯首页 > 建材网资讯 > 行业新闻> 警惕:智能家居不安全就在身边(正文)

警惕:智能家居不安全就在身边

时间:2015-07-21 06:19:38 来源:中国建材网 点击量:11

智能家居是如今的大热门,然而在人们只关注到家居的智能和人性化时,黑客们却将目光放在了智能家居中一切可利用的漏洞上。

从应用看漏洞

资料显示,在多种家庭自动化设备和传感器的帮助下——包括门锁、开关和电源插座——所有这些设备都可通过互联网实现远程控制和监控功能,它们中的大多数还可连接至基于云端的服务,用户则可通过网页端口或智能手机应用与之进行交互。

记者在乌云峰会上,也同白帽子交流了一些智能家居的漏铜,从如何从固件攻击、嵌入式脚本攻击、协议Hack和工控等多角度解析,加上视频演示,全面展示了黑客是如何黑掉家庭中的各种智能设备,这其中包括智能插座、智能路由器以及如何远程控制空调、冰箱、电视机等设备,最可怕的是可以通过劫持监控,进而控制整栋大楼的智能设备。你要相信,《黑客帝国》是可以情景再现的!

安全专家们查看了这些设备的前端连接,在前端连接方面,他们发现只有SmartThings Hub执行了强密码,而Ubi甚至没有对用户连接进行任何加密,这无疑给中间人攻击创造了可能。而在后端连接这一块,这些设备的表现更加糟糕。Ubi和MyQ Garage没有执行加密,没有提供对抗中间人攻击的必要保护,对于重放攻击也毫无防御力。此外,Ubi也没有对敏感数据进行适当的保护。

除了SmartThings Hub之外,这些设备都不具备中间人攻击保护,因为它们要么完全没有使用安全传输层协议加密,或是没有使用适当的证书验证执行TLS加密。

这种情况表明,厂商在产品设计阶段都是假定它们未来所运行的网络环境都是安全的,但事实显然并非如此。从过去几年里的安全研究中我们可以看出,如果说有什么东西的安全性比物联网设备还要差,那就是消费类路由器了。安全专家经常会在路由器当中发现严重的安全漏洞,它们中的大多数可让黑客执行中间人攻击,也导致了数以百万计的路由器被用于大规模的攻击。

物联网和智能家居

物联网厂商对于家庭网络安全的错误信任也反映在了旗下产品暴露于这些网络中的调试接口和其他服务。

曾有媒体报道,Veracode的调研发现,Wink Hub会在80端口运行未认证的HTTP服务,Wink Relay会运行可通过网络访问的ADB服务,Ubi运行ADB和VNC服务时都不需要密码,SmartThings Hub所运行的Telnet服务器受到了密码保护,MyQ Garage所运行的HTTPS服务会暴露基本连接信息。

在Wink Relay和Ubi这两款设备身上,暴露的ADB接口可向攻击者提供root权限,让他们得以在设备上执行任意代码和命令。

在云端服务方面,Veracode的研究者虽然没有直接对这些服务的安全性进行分析,但他们还是考虑到了几种可能出现的情况,比如如果攻击者获取到了用户账户、截获了与之接近的连接、或是彻底冲破云服务会发生什么。他们得出的结论是,这些情况会导致严重程度不同的安全问题,轻则暴露敏感信息,重则致使设备彻底被控制。

厂商并没有清楚地向用户解释这些设备对于云服务的依赖,但他们的确应该如此——因为并不是每一位用户都意识到,他们并不是直接和设备进行交互的。当使用配套的移动应用时,控制信号实际上需要通过由第三方运营的服务才会被传递到设备当中。这同时也意味着,需要获得安全措施保护的不仅仅是硬件设备本身,还包括网络服务。

Veracode根据这些分析结果得出的结论是,这些测试设备的设计师“没有足够重视安全和隐私,从而把消费者置于网络攻击或物理入侵的风险当中”。

总之,云端存在一些Web上的漏洞,可以直接控制到权限,而且它的权限比较大,是直接Root权限,有很多东西就可以远程控制它的设备。在云端几乎就把设备上所有的信息全部存储,而且云端上还有DIBAT模式,它可以直接升级固件,甚至黑客可以直接编一个固件,然后升级到你的设备当中,而一直远程监控你。作者:王婷婷

欢迎转载,转载请注明作者和出处!

更多相关资讯: 建材网

如果您认为此信息侵犯了您的合法权益,请您将相关资质证明和您的权利要求发送至,世界工厂网工作人员会尽快回复处理!

【欢迎发表您的观点】
网友评论
联盟推荐
点金台

法律声明:世界工厂网资讯频道自行发布或转载的所有内容(包括但不限于文字、图片、图表、广告、软件、程序、版面设计、专栏目录与名称等内容)的版权均属世界工厂网或相关资料提供者。凡来源于其他媒体的内容,本站均予以注明并已尽到审查核实义务,本网转载出于传递信息之目的,不代表本网站赞同其观点和对其真实性负责,如果您发现本网站使用了您拥有著作权的作品并对我们的展示方式有异议,请向我们提供您的身份证明及您对该作品拥有著作权的有关文件,我们会尽快妥善处理。

转载声明:如其他媒体、网站或个人从本网下载使用转载稿,必须标注稿件来源,并自负与版权有关的法律责任。如擅自将上述稿件来源篡改为世界工厂网或“据世界工厂网报道”,本网将依法追究其侵权责任。