沒人希望門鈴成為家中的薄弱環(huán)節(jié),但是隨著“物聯(lián)網(wǎng)”行業(yè)的興起,它的安全性也應(yīng)該得到更高程度的重視了。通常人們會安裝個可視的IoT門鈴,以便通過互聯(lián)網(wǎng)在智能手機等設(shè)備上查看屋外的狀況。然而專注拆解物聯(lián)網(wǎng)裝置的Pen Test Partners公司卻發(fā)現(xiàn),它們竟有一個泄露主人家Wi-Fi密碼的“漏洞”。
Pen Test Partners解釋到:只需擰下兩顆螺絲,就能碰到背后的成色按鈕,利用它可以讓門鈴的無線組件切換到AP(接入點)模式。
該無線模塊由Gainspan打造,并且包含了一個Web服務(wù)器,之后攻擊者可借助手機(以及某個特殊的URL)連接至該服務(wù)器。
糟糕的是,其竟然直接可以在瀏覽器中被看到無線模塊的配置文件,甚至包含了Wi-Fi網(wǎng)絡(luò)的SSD和PSK密碼。
到了這一步,攻擊者就可以安心地將門鈴安裝回去,然后消失。主人們很相信自家的無線網(wǎng)絡(luò),并且會連接上各種各樣的設(shè)備。
在獲得了網(wǎng)絡(luò)的訪問權(quán)限之后,攻擊者就能夠肆無忌憚地滲透了。萬幸的是,在Pen Test Partners告知之后,廠家已經(jīng)在2周內(nèi)發(fā)布了固件更新。
在此之前,Pen Test Partners的研究人員們還曾搞定過智能冰箱、燒水壺、GoPro相機、智能電視、甚至BB-8星戰(zhàn)玩具。
京公網(wǎng)安備 11010502049343號