客戶控制物聯網設備和瀏覽網頁時,使用了同一個開放無線網絡。只要在無線網絡范圍內,黑客可以輕易地實施攻擊。另外,由于酒店沒有對 iPad 進行認證,黑客也能用筆記本控制其他房間的設備。黑客還可以在 iPad 上安裝木馬程序,實現遠程遙控。
隨著物聯網的發展,我們將會迎來更加智能化的生活。不過,物聯網也是一把“雙刃劍”,在更多的方便之外,它也帶來了新的安全隱患。這些聯網設備已經成為黑客新的攻擊目標。
在即將到來的黑帽安全大會上,西班牙黑客 Jesus Molina 會分享自己的發現。他現在為一家美國獨立安全咨詢公司工作。去年他在深圳的瑞吉酒店入住時,對房間內的操控系統產生興趣。今年年初,他特意去酒店住了幾天,找到了一些安全漏洞。通過這些漏洞,他能夠控制酒店 250 多個房間里的溫控器、燈光、電視、百葉窗,還有門外的“請勿打擾”電子燈。
瑞吉酒店向每個客人提供了 iPad 和電子管家應用,用來控制房間里的各種設施,但是,他們使用的通信協議 KNX 不安全,沒有提供加密功能。“KNX/IP 協議不能保證安全,” Molina 對Wired 網站說,“因此,任何一個酒店或公共場所,如果在不安全的網絡上使用該協議的話,很容易使自己成為攻擊對象。”
更為糟糕的是,客戶控制物聯網設備和瀏覽網頁時,使用了同一個開放無線網絡。只要在無線網絡范圍內,黑客可以輕易地實施攻擊。另外,由于酒店沒有對 iPad 進行認證,黑客也能用筆記本控制其他房間的設備。黑客還可以在 iPad 上安裝木馬程序,實現遠程遙控。“我可以身在柏林,然后控制 iPad,讓它關掉酒店里的燈光。” 他說。他還能在 iPad 上安裝惡意程序,讓它隨機選定時刻,開關房間里的燈光和電視。
Molina 向酒店的安全主管報告了這個問題。安全主管承認了問題的存在,并且說他正在努力修補。不過,這并不容易。酒店需要對全部系統進行更換。Molina 并不確定他能夠控制多少設備。酒店確認說,電子管家不能控制門鎖。同時,他也了解到,其它的連鎖酒店使用了不同的系統。
Molina 發現的安全問題,并不僅僅在酒店存在。目前,許多家用自動化系統都使用了不安全的 KNX 協議。“人們使用這些協議并不是為物聯網構建的,” Molina 說,“在無線的情況下,家庭自動化使用 KNX 完全沒有道理。我們在物聯網上進行的游擊戰會很危險。對此,我不會輕描淡寫。”
京公網安備 11010502049343號