视频: É или È? Как правильно ставить диакритические знаки над E во французском. Accent aigu и accent grave (十一月 2024)
谈论Nest智能恒温器的安全隐患,大多数人可能只会耸耸肩。 他们认为,因为恒温器无法使用您的资金或烧毁您的房屋,所以攻击者不会理会它。 在今年的Black Hat大会上,主持人Yier Jin,Grant Hernandez和Daniel Buentello表示,恒温器可以完成很多工作。
Nest确实具有一定的安全性,演示者明确指出了Nest对该公司工作的认可。 金说:“它的设计很好,我们应该赞扬他们的工作。” 他迅速跟随团队工作的重点:“根据我们的分析,我们找到了一个硬件后门,通过该后门,我们可以远程控制整个设备。”
打破巢穴
在演示中,团队通过USB访问Nest并在大约15秒内将其扎根。 他们的攻击取决于Nest有意留在设备上的调试系统。 演讲者指出,这实际上是嵌入式设备制造商的普遍做法。
按住Nest的物理按钮10秒钟后,设备将重新启动。 但是在瞬间,它可以接收有关如何启动的新说明。 团队创建了一个自定义工具,当直接连接到Nest时,便会对Nest的软件进行了重新设计,从而对其进行了全面的远程控制。
尽管他们的攻击确实需要物理访问,但执行速度却是惊人的。 可以想象,攻击者可以在Nest所有者离开房间一会后抓住对Nest的控制权。 他们还指出,攻击者可以简单地购买Nest设备,对其进行感染,然后将其发送回要转售的商店。
而且不要认为Nest的更新会有所帮助:研究人员说,他们为受感染的设备开发了一种从固件更新中隐藏文件的方法。 轻松一点,演示者还演示了可以用动画背景代替Nest的无聊外观。
有什么关系
Nest的主要功能之一-实际上是它的卖点-是它可以了解您的供暖和制冷偏好。 利用此信息,它可以优化您的房屋温度,以满足您的需求并节省金钱。 但是演示者指出,这为攻击者提供了许多有关您的习惯的信息。 例如,遭到入侵的Nest就会知道您何时出门在外或正在度假。 此信息可用于将来的数字攻击,或仅用于盗窃。
Nest也知道您的网络凭据及其大概位置。 但是,最令人沮丧的使用已损坏的Nest将是其他攻击的滩头堡。 布恩特洛说,如果他能控制某人家中被感染的巢穴,“我将把您所有的交通都通过,寻找任何我能找到的东西。” 这包括密码,信用卡号和任何其他有价值的信息。
尽管他们的演讲令人恐惧,但仍要求攻击者可以物理访问Nest恒温器。 但是研究人员向听众保证,他们正在努力探索设备的软件协议,例如Nest Weave,他们认为可以允许远程利用。
主持人说,但最糟糕的是,受害者无法告诉自己已被感染。 毕竟,您无法将防病毒软件加载到恒温器中。
隐私
入侵Nest是一个非常有趣的演示,但主持人最关心的是隐私。 他们指出,Nest用户不能选择退出数据收集。 Nest设备还有可能超出我们的想象。 “为什么我的恒温器到底需要2 GB,” Buentello问。 “在做什么?”
尽管研究人员对Nest决定包括USB后门的做法持批评态度,但他们指出,有隐私意识的人实际上可以使用它来阻止Nest收集用户数据。 他们的研究小组的第四位成员正在努力开发自定义固件更新,以利用团队发现的漏洞。 他们的自定义修补程序将阻止Nest收集数据,但仍将允许Nest正常运行-即使在空中接收更新时也是如此。
由于Nest是物联网设备的发布者,该团队向观众提出了一个有趣的问题:他们会继续在家里使用Nest吗? 研究人员说,我们所采取的行动以及对我们认为嵌入式设备可允许使用的决定可能会为未来30年设定标准。
做出明智的选择。
