隨著物聯網設備的廣泛使用,被黑客攻擊的范圍也在不斷擴大,我們周邊的智能設備是網絡犯罪者們首要選擇的攻擊目標。那么咖啡機又怎能例外呢?聯網的咖啡機會成為黑客入侵網絡的入口,甚至可能會訪問你的隱私信息。
手機上一個小小的app就可以控制咖啡機,遠程在手機app上輕點幾下就可喝到一杯熱氣騰騰的咖啡。然而app上存在一個漏洞,當應用程序和咖啡機交換信息時就給攻擊者打開了一扇攻擊大門。攻擊者會利用這個漏洞竊取用戶WiFi密碼和嗅探無線網絡中傳輸的數據。
卡巴斯基實驗室的安全專家警告使用聯網咖啡機時可能會存在安全隱患,同時還發現其他幾個聯網設備也會給用戶帶來安全隱患。它們分別是:
1. 視頻流媒體的USB電子狗(Google Chromecast)2. 智能手機控制的IP照相機3. 智能手機控制的咖啡機4. 智能手機控制的家庭安全系統漏洞雖不少,但很難被利用
安全專家發現了數個不同危險程度的安全漏洞,說實話有些漏洞很難利用,因為滿足入侵的客觀條件很難實現。
當聯網咖啡機打開時,它就自動打開了一個未加密的熱點,可竊聽UPNP流量。在客戶端,智能手機上安裝的app是由咖啡機廠商提供的,它會連接到一個熱點并發送UDP請求廣播,以搜索UPNP設備。咖啡機會與app建立一個通信,以交換諸如SSID、無線密碼等數據,然而不幸的是,這些交換的數據全是明文的。
為了入侵咖啡機,攻擊者需要知道用戶安裝app的具體時間,以及物理接觸物聯網設備的具體時間,從而截取用戶的密碼。事實上,這種攻擊場景并不易實現。
廠商的反應
卡巴斯基實驗室已經將這一問題報告給了咖啡機廠商,對方給出的回應是:
用戶體驗和安全對我們來說都非常重要,我們也一直在這兩者之間尋找平衡點。你們所提到的漏洞是在安裝過程中發生的,屬于低危。如果要獲得訪問權限,攻擊者需要在目標家庭網絡的附近,并且時間還必須保證在應用安裝的過程中,也就是說攻擊只能在短短的幾分鐘和一定的距離內才能完成。我們不相信這個漏洞會對用戶體驗帶來很大的影響。盡管我們還沒有明確改變安裝進程的計劃,但如果安全風險變得非常嚴峻的情況下我們會毫不猶豫的做出改變。未來有什么改變我們會及時通知。
京公網安備 11010502049343號