研究人員在不久前的BlackHatUSA大會(huì)上,展示目前市場(chǎng)熱賣(mài)的智慧型恒溫裝置如何會(huì)受到駭客入侵威脅。消費(fèi)者逐漸被物聯(lián)網(wǎng)(IoT)包圍,日常生活中的嵌入式裝置、家電都具備連網(wǎng)功能,而研究人員也證實(shí),這種訴求便利的連結(jié)性為設(shè)備同時(shí)也會(huì)遭受安全風(fēng)險(xiǎn),為使用者隱私帶來(lái)負(fù)面效應(yīng)。
在8月初于美國(guó)拉斯維加斯舉行的2014年度BlackHat大會(huì)上,來(lái)自中央佛羅里達(dá)大學(xué)的研究人員GrantHernandez、YierJin,以及獨(dú)立研究人員DanielBuentello,對(duì)市場(chǎng)上熱賣(mài)的物聯(lián)網(wǎng)概念裝置──NestLearningThermostat智慧恒溫器重炮轟擊;三位研究人員證實(shí),如果攻擊者能取得對(duì)該種智慧恒溫器的實(shí)體接取機(jī)會(huì),該裝置就非常容易受到安全威脅。
研究人員們實(shí)際示范,攻擊者在不到15秒的時(shí)間內(nèi)就能把Nest恒溫器從底座上移除,并透過(guò)microUSB介面的纜線植入后門(mén)惡意程式,而且恒溫器主人完全不會(huì)發(fā)現(xiàn)有任何改變;這種惡意程式能讓Nest被用來(lái)當(dāng)做窺探使用者的工具,或是透過(guò)網(wǎng)路攻擊其他裝置,甚至竊取無(wú)線網(wǎng)路憑證等等。
這種安全威脅對(duì)目前以及未來(lái)的Nest恒溫器使用者來(lái)說(shuō)有何意義?就如同我們看到的DropCam網(wǎng)路攝影機(jī)駭客入侵案例,攻擊者需要對(duì)裝置有實(shí)體接觸,這表示歹徒得闖入你家,恐怕是遠(yuǎn)比恒溫器被植入惡意程式更嚴(yán)重的威脅;不過(guò)研究人員設(shè)想了許多情境,表示Nest恒溫器可能被有心人士購(gòu)買(mǎi)、植入惡意程式、再退貨給商店,或者是被植入過(guò)惡意程式的也可能透過(guò)線上商店被賣(mài)給特定的顧客。
而最大的問(wèn)題是,如果裝置被駭客入侵了,使用者是完全不會(huì)知道;防毒軟體也無(wú)法在該類(lèi)裝置中執(zhí)行并搜尋惡意程式碼;基本上,若要在不轉(zhuǎn)存記憶體或分析裝置韌體的情況下察知裝置是否被駭客入侵,唯一方法就是監(jiān)控網(wǎng)路資料流量,或是觀察是否有異常情況出現(xiàn)──也就是在大多數(shù)家庭網(wǎng)路中不太可能出現(xiàn)的情況。
你家的智慧恒溫器可能會(huì)被駭客入侵! (來(lái)源:Sarah Sawyer,Dark Readking)
不過(guò)研究人員還是稱(chēng)贊Nest恒溫器是一款設(shè)計(jì)精良的產(chǎn)品,到目前為止,這款裝置的安全威脅仍?xún)H限于透過(guò)USB纜線實(shí)體入侵;研究人員還在忙著尋找Nest網(wǎng)路客戶端、服務(wù),以及可支援遠(yuǎn)端利用的NestWeave通訊協(xié)議是否有漏洞存在。透過(guò)存取裝置上的檔案,以及藉由硬體后門(mén)取得與執(zhí)行程式互動(dòng)的能力,恐怕駭客找到遠(yuǎn)端攻擊方法只是時(shí)間問(wèn)題。
除了被當(dāng)作攻擊其他家用無(wú)線網(wǎng)路上連網(wǎng)裝置的「跳板」,Nest智慧恒溫器還可能帶來(lái)其他安全威脅;研究人員表示,NestWeave通訊協(xié)議也可能是一個(gè)脆弱的切入點(diǎn)。Weave是一個(gè)以802.15.4標(biāo)準(zhǔn)為基礎(chǔ)的通訊協(xié)議,與Zigbee與WirelessHART類(lèi)似,能讓Nest恒溫器與其他Nest裝置通訊,如NestProtect煙霧/二氧化碳警報(bào)器。
如何能防止駭客攻擊同樣具備以802.15.4通訊協(xié)議為基礎(chǔ)之介面的裝置,例如智慧電表、遙控門(mén)鎖等等?這也是研究人員正在努力調(diào)查的部分。在大會(huì)發(fā)表專(zhuān)題演說(shuō)時(shí),上述研究人員們也詢(xún)問(wèn)聽(tīng)眾們是否會(huì)繼續(xù)使用Nest裝置;其中一位研究人員Buentello表示:「盡管我們做了那么多研究發(fā)現(xiàn)它們可能有多么危險(xiǎn),我還是沒(méi)放棄它們、我家裝了兩個(gè)。」
研究人員們總結(jié)表示,今日我們對(duì)于可接受之嵌入式裝置所采取的行動(dòng)與決定,將替未來(lái)三十年的產(chǎn)品設(shè)立標(biāo)準(zhǔn)。
京公網(wǎng)安備 11010502049343號(hào)