發(fā)布時間:2015-4-10 10:08:42 來源:騰訊數(shù)碼 編輯:中國家裝家居網(wǎng)
隨著物聯(lián)網(wǎng)技術(shù)和相關(guān)設(shè)備逐步進(jìn)入大眾的視線當(dāng)中,其存在的安全隱患也成為了外界熱議的話題。最近,應(yīng)用安全公司Veracode的研究者就對6款智能 家居 設(shè)備進(jìn)行了安全測試,結(jié)果發(fā)現(xiàn)其中5款都存在嚴(yán)重安全問題。
Veracode所測試的這6款設(shè)備包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多種家庭自動化設(shè)備和傳感器的幫助下——包括門鎖、開關(guān)和電源插座——所有這些設(shè)備都可通過互聯(lián)網(wǎng)實現(xiàn)遠(yuǎn)程控制和監(jiān)控功能,它們中的大多數(shù)還可連接至基于云端的服務(wù),用戶則可通過網(wǎng)頁端口或智能手機(jī)應(yīng)用與之進(jìn)行交互。
Veracode并沒有試圖尋找這些設(shè)備固件當(dāng)中的漏洞,而是對它們的工作方式及使用的通訊協(xié)議進(jìn)行了分析。安全專家們查看了這些設(shè)備的前端(用戶和云服務(wù)之間)和后端(設(shè)備和云服務(wù)之間)連接,在前端連接方面,他們發(fā)現(xiàn)只有SmartThings Hub執(zhí)行了強(qiáng)密碼,而Ubi甚至沒有對用戶連接進(jìn)行任何加密,這無疑給中間人攻擊創(chuàng)造了可能。
而在后端連接這一塊,這些設(shè)備的表現(xiàn)更加糟糕。Ubi和MyQ Garage沒有執(zhí)行加密,沒有提供對抗中間人攻擊的必要保護(hù),對于重放攻擊也毫無防御力。此外,Ubi也沒有對敏感數(shù)據(jù)進(jìn)行適當(dāng)?shù)谋Wo(hù)。
除了SmartThings Hub之外,這些設(shè)備都不具備中間人攻擊保護(hù),因為它們要么完全沒有使用安全傳輸層協(xié)議(TLS)加密,或是沒有使用適當(dāng)?shù)淖C書驗證執(zhí)行TLS加密。
這種情況表明,廠商在產(chǎn)品設(shè)計階段都是假定它們未來所運行的網(wǎng)絡(luò)環(huán)境都是安全的,但事實顯然并非如此。從過去幾年里的安全研究中我們可以看出,如果說有什么東西的安全性比物聯(lián)網(wǎng)設(shè)備還要差,那就是消費類路由器了。安全專家經(jīng)常會在路由器當(dāng)中發(fā)現(xiàn)嚴(yán)重的安全漏洞,它們中的大多數(shù)可讓黑客執(zhí)行中間人攻擊,也導(dǎo)致了數(shù)以百萬計的路由器被用于大規(guī)模的攻擊。
物聯(lián)網(wǎng)廠商對于家庭網(wǎng)絡(luò)安全的錯誤信任也反映在了旗下產(chǎn)品暴露于這些網(wǎng)絡(luò)中的調(diào)試接口和其他服務(wù)。
Veracode的研究者發(fā)現(xiàn),Wink Hub會在80端口運行未認(rèn)證的HTTP服務(wù),Wink Relay會運行可通過網(wǎng)絡(luò)訪問的ADB服務(wù),Ubi運行ADB和VNC(遠(yuǎn)程桌面)服務(wù)時都不需要密碼,SmartThings Hub所運行的Telnet服務(wù)器受到了密碼保護(hù),MyQ Garage所運行的HTTPS服務(wù)會暴露基本連接信息。
在Wink Relay和Ubi這兩款設(shè)備身上,暴露的ADB接口可向攻擊者提供root權(quán)限,讓他們得以在設(shè)備上執(zhí)行任意代碼和命令。
在云端服務(wù)方面,Veracode的研究者雖然沒有直接對這些服務(wù)的安全性進(jìn)行分析,但他們還是考慮到了幾種可能出現(xiàn)的情況,比如如果攻擊者獲取到了用戶賬戶、截獲了與之接近的連接、或是徹底沖破云服務(wù)會發(fā)生什么。他們得出的結(jié)論是,這些情況會導(dǎo)致嚴(yán)重程度不同的安全問題,輕則暴露敏感信息,重則致使設(shè)備徹底被控制。
廠商并沒有清楚地向用戶解釋這些設(shè)備對于云服務(wù)的依賴,但他們的確應(yīng)該如此——因為并不是每一位用戶都意識到,他們并不是直接和設(shè)備進(jìn)行交互的。當(dāng)使用配套的移動應(yīng)用時,控制信號實際上需要通過由第三方運營的服務(wù)才會被傳遞到設(shè)備當(dāng)中。這同時也意味著,需要獲得安全措施保護(hù)的不僅僅是硬件設(shè)備本身,還包括網(wǎng)絡(luò)服務(wù)。
Veracode根據(jù)這些分析結(jié)果得出的結(jié)論是,這些測試設(shè)備的設(shè)計師“沒有足夠重視安全和隱私,從而把消費者置于網(wǎng)絡(luò)攻擊或物理入侵的風(fēng)險當(dāng)中”。
舉個例子,Ubi設(shè)備所收集的信息可讓不法之徒了解到你家里是否有人(根據(jù)環(huán)境噪音或燈光)。此外,通過利用Ubi或Wink Relay所含的漏洞,攻擊者可以使用設(shè)備的麥克風(fēng)進(jìn)行竊聽。
但所幸的是,不同于路由器這種設(shè)備,許多物聯(lián)網(wǎng)設(shè)備都具備自動升級的能力。因此當(dāng)發(fā)現(xiàn)問題時,廠商可以輕松地推送修復(fù)升級。
設(shè)為首頁 
題-1.jpg "寓所里的Effortless Chic!走進(jìn)室內(nèi)設(shè)計師Fernando Tapia的馬德里公寓,感受隨性中的浪漫格調(diào)")
題-1.jpg "讓人驚詫的女星大尺度照")
