视频: ééä¿ (十一月 2024)
在中国深圳瑞吉酒店逗留期间,独立安全顾问和Trusted Computing Group的前主席Jesus Molina成功入侵了豪华酒店200个房间的控制装置。
酒店在每个房间提供一个iPad,除其他功能外,客人还可以控制灯光和百叶窗。 莫利纳(Molina)周五向黑帽(Black Hat)的参加者介绍了他对iPad所使用的自动化系统感到好奇。 Molina注意到它使用酒店的访客Internet服务与灯具和其他对象进行通信。 自动化命令使用的是KNX / IP,这是两个十年没有安全设置的旧协议。 尽管有更新的KNX / IP版本内置了一些安全设置,但大多数用户尚未更新。
我们说话有多不安全? Molina发现,如果他使用一台设备的IP地址,而只是更改了最后一位数字,那么他就可以访问会议室中的另一台设备。 他编写了一个脚本,以绘制200个不同房间中照明和百叶窗的IP地址。 为了调整他的酒店网络地图,他不得不要求前台四次切换房间。
莫利纳(Molina)展示了自己进行测试并远程打开房间灯光的视频。
Molina告知拥有瑞吉酒店的连锁酒店喜达屋集团,并告知他们该漏洞。 喜达屋迅速合作并修复了该漏洞,因此,使用该系统的所有酒店都不再脆弱。
但是,KNX / IP是中国酒店设备自动化的标准,并且在欧洲已广泛实施。 许多酒店都在使用较旧的,不安全的协议。 Molina指出,虽然KNX / IP应该是标准的,但是解释如何使用它的文档却要花费一千多美元。 这意味着使用类似自动化系统的非喜达屋酒店可能仍然很脆弱。
