×

注册花火通行证,没有账号立即注册

首页 > 新闻中心 > 评论 > 正文

未来生活:智能家居的安全隐患就在身边

2015-07-25 10:06:23来源:比特网

扫一扫

分享文章到微信

扫一扫

关注花火网微信公众号

收藏

分享到

005zVpB4gy6JpfrpYmk20.jpg

近年来,智能家居可以说是全球市场讨论最热门的话题,然而就当我们憧憬着未来智能生活的美好时,可曾料到黑客们的目光会集中在智能家居中一切可利用的漏洞上,真到那时未来美好智能生活的表象下可能处处隐藏着“陷进”。

从应用看漏洞

资料显示,在多种家庭自动化设备和传感器的帮助下——包括门锁、开关和电源插座——所有这些设备都可通过互联网实现远程控制和监控功能,它们中的大多数还可连接至基于云端的服务,用户则可通过网页端口或智能手机应用与之进行交互。

记者在乌云峰会上,也同白帽子交流了一些智能家居的漏铜,从如何从固件攻击、嵌入式脚本攻击、协议Hack和工控等多角度解析,加上视频演示,全面展示了黑客是如何黑掉家庭中的各种智能设备,这其中包括智能插座、智能路由器以及如何远程控制空调、冰箱、电视机等设备,最可怕的是可以通过劫持监控,进而控制整栋大楼的智能设备。你要相信,《黑客帝国》是可以情景再现的!

安全专家们查看了这些设备的前端(用户和云服务之间)和后端(设备和云服务之间)连接,在前端连接方面,他们发现只有SmartThings Hub执行了强密码,而Ubi甚至没有对用户连接进行任何加密,这无疑给中间人攻击创造了可能。而在后端连接这一块,这些设备的表现更加糟糕。Ubi和MyQ Garage没有执行加密,没有提供对抗中间人攻击的必要保护,对于重放攻击也毫无防御力。此外,Ubi也没有对敏感数据进行适当的保护。

除了SmartThings Hub之外,这些设备都不具备中间人攻击保护,因为它们要么完全没有使用安全传输层协议(TLS)加密,或是没有使用适当的证书验证执行TLS加密。

这种情况表明,厂商在产品设计阶段都是假定它们未来所运行的网络环境都是安全的,但事实显然并非如此。从过去几年里的安全研究中我们可以看出,如果说有什么东西的安全性比物联网设备还要差,那就是消费类路由器了。安全专家经常会在路由器当中发现严重的安全漏洞,它们中的大多数可让黑客执行中间人攻击,也导致了数以百万计的路由器被用于大规模的攻击。

物联网和智能家居

物联网厂商对于家庭网络安全的错误信任也反映在了旗下产品暴露于这些网络中的调试接口和其他服务。

曾有媒体报道,Veracode的调研发现,Wink Hub会在80端口运行未认证的HTTP服务,Wink Relay会运行可通过网络访问的ADB服务,Ubi运行ADB和VNC(远程桌面)服务时都不需要密码,SmartThings Hub所运行的Telnet服务器受到了密码保护,MyQ Garage所运行的HTTPS服务会暴露基本连接信息。

在Wink Relay和Ubi这两款设备身上,暴露的ADB接口可向攻击者提供root权限,让他们得以在设备上执行任意代码和命令。

在云端服务方面,Veracode的研究者虽然没有直接对这些服务的安全性进行分析,但他们还是考虑到了几种可能出现的情况,比如如果攻击者获取到了用户账户、截获了与之接近的连接、或是彻底冲破云服务会发生什么。他们得出的结论是,这些情况会导致严重程度不同的安全问题,轻则暴露敏感信息,重则致使设备彻底被控制。

厂商并没有清楚地向用户解释这些设备对于云服务的依赖,但他们的确应该如此——因为并不是每一位用户都意识到,他们并不是直接和设备进行交互的。当使用配套的移动应用时,控制信号实际上需要通过由第三方运营的服务才会被传递到设备当中。这同时也意味着,需要获得安全措施保护的不仅仅是硬件设备本身,还包括网络服务。

Veracode根据这些分析结果得出的结论是,这些测试设备的设计师“没有足够重视安全和隐私,从而把消费者置于网络攻击或物理入侵的风险当中”。

总之,云端存在一些Web上的漏洞,可以直接控制到权限,而且它的权限比较大,是直接Root权限,有很多东西就可以远程控制它的设备。在云端几乎就把设备上所有的信息全部存储,而且云端上还有DIBAT模式,它可以直接升级固件,甚至黑客可以直接编一个固件,然后升级到你的设备当中,而一直远程监控你。

标签:智能家居
为您推荐
三星SmartTag蓝牙追踪器怎么操控智能家居设备 三星SmartTag蓝牙追踪器有什么功能 三星SmartTag蓝牙追踪器怎么操控智能家居设备 三星SmartTag蓝牙追踪器有什么功能

前不久在三星Unpacked发布会上推出旗舰手机之外,还发布首款Galaxy SmartTag智能追踪器。没想到传闻1年的苹果AirTags,被三星捷足先登。不知道有没有感兴趣的小伙伴,下面咱们就

huangjuan2021-01-29 14:43

如何使用Google Assistant 怎么让Google Assistant控制智能家居 如何使用Google Assistant 怎么让Google Assistant控制智能家居

想知道如何使用Google Assistant?Google Assistant是所有最好的Google Home扬声器,Pixel手机和Wear OS智能手表背后的人工智能。下面让我们来看一下如何使用Google Assistant

jinjiaqi2021-01-30 14:57

可视门铃是否可以与其他智能家居设备一起使用 可视门铃与智能家居摄像头有什么区别 可视门铃是否可以与其他智能家居设备一起使用 可视门铃与智能家居摄像头有什么区别

任何物有所值的智能门铃都配备有摄像机,当按下门铃按钮时,该摄像机会向您的手机发送警报以及实时视频流。通过移动应用程序访问视频,该应用程序也可用于安装设备,配置无线设置和

huangjuan2021-01-06 15:38

如何看待魅族进军智能家居行业 魅族重走旧路是局势所迫吗 如何看待魅族进军智能家居行业 魅族重走旧路是局势所迫吗

花火网消息,近日,魅族举办首场Lipro智能家居新品发布会,率先发布健康照明系列产品。此次发布会上,魅族带来了多款Lipro健康照明产品,包括: LED筒灯、LED橱柜灯、LED灯带、 LED灯泡

huangjuan2021-01-06 13:59

魅族转行进入智能家居市场 魅族是不是要放弃手机业务了 魅族转行进入智能家居市场 魅族是不是要放弃手机业务了

1月5日,魅族的Lipro新品发布会开始,主打的是智能家居方向,而现在魅族今年的手机业务已经十分边缘化了,魅族17一个系列撑了一年,市场占有率极具下降,可以说魅族已经彻底变成了小厂,

jinjiaqi2021-01-06 10:03

键盘延迟怎么解决 键盘脏了怎么清理 键盘延迟怎么解决 键盘脏了怎么清理

现代生活中,基本家家户户都有了电脑,它可以让即使在家坐着的人也可以了解网上时时刻刻发生的事,我相信许多用户在使用带有Win10系统的计算机时会遇到键盘延迟的情况,下面咱们就

huangjuan2021-01-26 13:24

微软计划自行研发ARM架构的芯片有何意义 ARM架构对移动世界有多重要 微软计划自行研发ARM架构的芯片有何意义 ARM架构对移动世界有多重要

花火网消息,继苹果之后,微软也宣布将自己设计芯片。微软正在为服务器设计自己的基于ARM的处理器,未来可能还会推出对应的Surface设备,微软计划自行研发ARM架构的芯片有何意义,ARM

huangjuan2020-12-31 11:06

小米11 Pro摄像头配置如何 小米11 Pro价格多少钱 小米11 Pro摄像头配置如何 小米11 Pro价格多少钱

在2020年底,小米11全球首发了骁龙888旗舰处理器,不过遗憾的是该系列的顶配版小米11 Pro并没有跟随小米11一起亮相。没有意外的话,该机将于近期发布,下面经过爆料咱们来看看小米1

huangjuan2021-01-28 10:43

applewatch怎么报时 让Apple Watch播报时间的方法 applewatch怎么报时 让Apple Watch播报时间的方法

通常我们要看目前时间都是直接抬起手腕即可查看Apple Watch表面上所显示的时间,但如果你在半睡半醒之间,不想张开眼睛?看时间的话,那么其实可以透过一个小技巧让Apple Watch自

jinjiaqi2021-01-03 15:06

网友怎么评价华为Mate 40系列手机 华为Mate 40系列值得购买吗 网友怎么评价华为Mate 40系列手机 华为Mate 40系列值得购买吗

华为认为Mate 40 Pro是该系列的主要手机,并且采用了该公司的5nm Kirin 9000处理器。在美国的贸易禁令意味着该伴侣40系列将是最后的旗舰麒麟芯片供电,至少在一段时间。下面让

jinjiaqi2021-02-09 10:51

加载更多新闻
热门资讯
最新更新