久久婷婷国产精品香蕉,国产精品青草久久久久婷婷,一区二区精品在线

使用調(diào)溫器報復(fù)前女友入侵智能家居比你想象的更容易

責任編輯：editor006

作者：nana

2015-04-13 13:40:22

摘自：安全牛

去年3月，一位Wifi自動調(diào)溫器的用戶在亞馬遜購物網(wǎng)站上留下了一條產(chǎn)品評論，揭示了智能家居令人意外的功效--報復(fù)?！薄　∧柗Q，黑客針對智能家居產(chǎn)品發(fā)起攻擊并將封裝的攻擊代碼包大范圍傳播的可能性是存在的。

去年3月，一位Wifi自動調(diào)溫器的用戶在亞馬遜購物網(wǎng)站上留下了一條產(chǎn)品評論，揭示了智能家居令人意外的功效--報復(fù)。堪稱打開了新世界的大門啊。

使用調(diào)溫器報復(fù)前女友入侵智能家居比你想象的更容易

這位對產(chǎn)品十分滿意的評論者寫道，他老婆離開了他，并讓新情人搬進了他們曾經(jīng)一起生活過的屋子。不過，慘遭拋棄的前老公依然能通過裝在他智能手機里的手機應(yīng)用控制調(diào)溫器。于是，他用這玩意兒讓那對新伴侶的生活從此以后都沒那么舒服了：

“因為俄亥俄州剛剛過去的這個冬天非常寒冷，我就在這對新情侶睡覺的時候搞亂房間的溫度。大家不都喜歡早上7點的時候在4攝氏度的房間里醒來嗎?在他們周末出游的時候，我把溫度調(diào)到27度，在他們回來前再降到4度。我只能想象他們的電費單是個啥樣兒了。這讓我享受到報復(fù)的快感。我知道這事兒干不長，但每次登錄進去發(fā)現(xiàn)這招依然能用我都忍不住會心一笑。簡直等不及到夏天讓這對新鮮出爐的愛情小鳥感受27度醒來的感覺了。畢竟，誰不想在6月中旬在27度的房間中醒來呢?

過去一年里，看過這條評論的8490位亞馬遜用戶中的8200位認為這條評論“有用”。

科爾比·摩爾是安全公司Synack的安全研究工程師，負責測試智能家居產(chǎn)品漏洞的。他說有些智能家居產(chǎn)品依然存在如那條亞馬遜評論中描述的那種固有漏洞。甚至那些支持重置用戶或憑證的設(shè)備對普通用戶而言，其操作也太過復(fù)雜了。

“主要產(chǎn)品中，你可以重置用戶，重置憑證或者其他什么類似的東西。但問題在于，有些東西開始變得有點過于技術(shù)化，我覺得這就是很多此類漏洞植根的土壤，至少目前是吧。制造商們沒能把產(chǎn)品設(shè)計得很安全，把維護安全的責任推到了終端用戶身上。”

比如，很多用戶甚至沒想過智能家居設(shè)備還要改密碼，因為他們就不知道這些技術(shù)產(chǎn)品也是可以像電腦一樣被人黑的。這也是11月份超過7.3萬接入互聯(lián)網(wǎng)的攝像頭被發(fā)現(xiàn)影像數(shù)據(jù)流出到網(wǎng)上的原因。用戶從不更改默認密碼。這些默認密碼就是些基礎(chǔ)產(chǎn)品信息，網(wǎng)上隨便找找就能找到。于是，購買攝像頭的初衷是為了鞏固安全感，結(jié)果卻是不經(jīng)意間讓黑客盜取了他們的私密影像。

摩爾說，物聯(lián)網(wǎng)和智能家居市場上，很多公司已經(jīng)開始認真對待安全問題。尤其是Nest公司的產(chǎn)品，像是聯(lián)網(wǎng)的調(diào)溫器和Dropcam無線網(wǎng)絡(luò)視頻監(jiān)控攝像頭之類的，在實驗環(huán)境之外是很難攻破的。

但是，太多低端智能家居產(chǎn)品令智能家居市場遍布漏洞。比如福斯康姆網(wǎng)絡(luò)攝像頭，市場上最便宜的，也是摩爾口中“超流行的”。

“目錄遍歷漏洞太常見，你可以用它讀取內(nèi)核內(nèi)存，轉(zhuǎn)儲密碼之類的東西。這話基本上就是說，你可以在網(wǎng)上找到別人的網(wǎng)絡(luò)攝像頭，無需任何憑證就能遠程訪問它。”

另一個案例里，Synack研究員們測試了一套在“自助家居賣場”里出售的典型智能家居安防系統(tǒng)。他們成功禁用了這一安防系統(tǒng)，進到了房間里，又在出來之后再次激活了系統(tǒng)。

“警報根本不會響，而且用戶回來時看起來好像什么都沒發(fā)生過一樣。”

摩爾稱，黑客針對智能家居產(chǎn)品發(fā)起攻擊并將封裝的攻擊代碼包大范圍傳播的可能性是存在的。盡管他還沒在市場上看到過此類東西，但攻擊者在黑市出售預(yù)封裝的攻擊代碼是“非常合理的”，就像電腦惡意軟件的售賣模式一樣，讓沒什么技術(shù)含量的犯罪分子也可以利用智能家居的網(wǎng)絡(luò)安全漏洞。

“我看到或聽說過的一件事是：有人掃描附近IP空間找到人們裝在家里、車庫或屋子外面的網(wǎng)絡(luò)攝像頭，并想法子得以監(jiān)視居住者的生活起居，推測出他們的生活習慣——一旦你知道了某人的生活模式你就知道他們何時不會在家。這樣就可以利用這些攝像頭和所獲取的情報，非常聰明地實施入戶盜竊。因此，我當然可以想到有人會打包一份很好用的實用工具包，尋找你附近的眾多攝像頭，把它當作一個搶劫工具干上一票。”

另一種可能的散播方式是自行改造這些產(chǎn)品。如果攻擊者能在發(fā)售之前接觸到這些設(shè)備——通過篡改存貨或者甚至買個攝像頭弄上預(yù)裝的惡意軟件再退回商店，他們就能在用戶安裝上這些產(chǎn)品的同時控制住這些小玩意兒。

為測試這一方式，Synack研究人員購買了幾種流行的網(wǎng)絡(luò)攝像頭，修改了其硬件，再用eBay上買的熱收縮包裝機重新包裝好。當他們請辦公室里的同事分辨原裝新貨和他們改動過又重新包裝好的偽新貨時，沒人能看出任何區(qū)別。

“所以我覺得這真的是聰明的黑客會干的事兒，尤其是在目標可能存在的富人區(qū)。”

摩爾說，高端智能家居產(chǎn)品已經(jīng)開始在設(shè)計上將安全考慮進去了，隨著市場的成熟，他希望其他產(chǎn)品最終也能跟進。然而，物聯(lián)網(wǎng)安全標準仍在制訂中，所以目前來講，消費者依然要面對這些漏洞的威脅。

“前幾天有個同事跟我說：‘我們有安全氣囊的技術(shù)，于是我們的車里被強制裝上了安全氣囊’。”摩爾說，“我們有不錯的物聯(lián)網(wǎng)產(chǎn)品安全技術(shù)，卻沒人要求使用或強制應(yīng)用它們。所以，制造商們，只要他們想，他們是可以做出正確的選擇的。技術(shù)就在那里，他們只是沒在用而已。”

原文地址：http://www.aqniu.com/news/7287.html

智能家居調(diào)溫器 DropCam