视频: ‘©!~ä¸ä¿攵è齏‰嚏å燺…¶æ£阸ç (十一月 2024)
家庭自动化非常酷。 您不必担心您可能会打开咖啡壶,或者忘记了关上车库门。 无论您身在何处,都可以检查房屋并解决任何问题。 但是如果网络骗子设法控制了系统怎么办? IOActive的研究人员发现了流行的家庭自动化系统中的一系列缺陷,这些缺陷很容易被犯罪分子用来接管。
Belkin的WeMo家庭自动化系统使用Wi-Fi和移动互联网来控制几乎任何种类的家用电子产品。 IOActive团队发现的漏洞将使攻击者可以远程控制任何连接的设备,使用其自己的(恶意)版本更新固件,远程监视某些设备,并可能获得对家庭网络的完全访问权限。
潜在的麻烦
有大量的WeMo设备可用。 您可以获得支持WeMo的LED灯泡,提供远程控制和使用情况监视的电灯开关以及远程控制插座。 婴儿监视器,运动传感器,甚至还有正在工作的遥控慢炖锅。 它们都通过WiFi连接,并且都只能与合法用户连接。
研究人员指出,访问您的WeMo网络的骗子可能会打开所有设备,从而导致从浪费电到油炸电路,甚至可能引发火灾。 植入WeMo系统后,聪明的黑客可以将该连接设置为对家庭网络的完全访问权限。 另一方面,婴儿监视器和运动传感器功能将显示是否有人在家里。 空置房屋是现实生活中盗窃的目标。
错误喜剧
在系统中发现的漏洞几乎是可笑的。 固件是经过数字签名的,确实如此,但是可以在设备中找到签名密钥和密码。 攻击者只需使用同一密钥对其恶意版本进行签名,即可在不触发安全检查的情况下更换固件。
设备不验证用于与Belkin云服务连接的安全套接字层(SSL)证书。 这意味着网络骗子可以使用任何随机的SSL证书来模仿Belkin的母亲身份。 研究人员还发现了设备间通信协议中的漏洞,即使没有更换固件,攻击者也可以获得控制权。 并且(惊奇!)他们在Belkin API中发现了一个漏洞,该漏洞将使攻击者完全控制。
该怎么办?
您可能会问,为什么IOActive会公开这些危险的信息? 他们为什么不去贝尔金? 事实证明,他们做到了。 他们只是没有得到任何回应。
如果您是估计的50万WeMo用户之一,IOActive建议您立即断开所有设备的连接。 这看似有点过激,但鉴于安全漏洞的严重性,被利用的可能性以及Belkin显然缺乏兴趣,我可以看到这一点。 有关完整的技术详细信息,请在线查看IOActive的咨询。 在Belkin修补问题之前,您可以考虑尝试使用其他家庭自动化系统。
