智能家居存安全漏洞 一联网就可能“被黑”
Insteon的首席信息官麦克·努尔斯(Mike Nunes),他在网络上看到的系统都来自一些停产的产品。它们之所以出现在搜索引擎中,完全是用户的责任。他表示,老产品最初并非用于远程控制,设置这种功能需要用户费一点周折。装置本身附带操作手册,告诉用户如何将装置联网,并强烈建议他们增加用户名和密码。
“这需要用户将一个链接粘贴至网络,而用户可能没有设置用户名和密码。”努尔斯说。我告诉努尔斯,如果产品默认需要设置用户名密码,就不会犯这样的错误。“我也支持和鼓励这么做。”他说。
在托马斯·哈勒的例子中,他创建了一个网站,作为接入家庭设备的入口。他的网站设置了密码,但你可以绕开它,直接进入不受密码保护的Insteon端口。“可以这么说,我承担一部分责任。因为家里的路由器是我亲自配置的,”哈勒说,“但是我没有意识到那个端口可以从外部网络进入。”
Insteon公司当前的产品自动分配用户名和密码,这在产品发布的前几个月是没有的事情。布莱恩恰恰买的就是没有被自动分配密码的产品。布莱恩还表示,产品新的认证手段很“糟糕”。很多黑客只需很少的工作量就能够破解它。
Insteon产品默认不需要密码的问题和Trendnet IP相机几年前的漏洞类似。不需要认证意味着任何人只要获得相机的IP地址,就能观看相机内的照片流。
即便没有面向公众的网站,只要产品具备这样的隐患,任何人搞清楚系统的地址后就能控制他人的家居。
“这些技术的出现令人兴奋,这些漏洞的存在令人心碎。”克洛利说。
他和同事发现的安全漏洞允许一个入侵者控制数个Insteon系统中的敏感设备,从Belkin WeMo开关到Satis 智能厕所。是的,他们发现厕所也能黑。你只要安装了智能厕所的应用程序,离厕所的距离足够近,那么你就可以与之通信。
“蓝牙连接,无需用户名或密码,”克洛利说,“任何人在手机上安装应用并接入网络,就能控制别人的厕所。当有人如厕时,你可以打开坐浴盆。”
他们将在未来两周举办的黑帽技术大会和Defcon黑客大会上公布发现。Trustwave指出公布这样的漏洞是想让公司知道产品发布前的安全测试有多重要。
还有一个问题,比如MIOS无线网关控制器,一旦它们接入网络,那么它们就默认任何使用该网络的都是授权用户。所以,如果你能接入别人的热点网络,你就能控制他们的家居。“这些公司认为家庭网络是防守的要塞,”克洛利说,“但大多数情况下,什么都不是。”
Insteon的漏洞之所以严重,是因为它允许任何人通过网络接入。
研究人员能看到暴露在网上的系统,但是不想进一步搜索。我真的为此感到不安,在关掉其他人的灯之前,我都确保获得这些用户的许可,不然有可能面临法律的指控。
“发现问题并报告给相关公司的人不用担心触犯法律,”一名擅长网络安全法规的律师马西亚霍夫曼(Marcia Hofmann)说。
“我们的演讲重点是这些设备没有良好的安全性,需要改善。”克洛利说,“很多缺陷研究几个小时就能发现。”
凡本网注明“来源:阿拉丁建筑电气网”的所有作品,版权均属于阿拉丁建筑电气网,转载请注明。
凡注明为其它来源的信息,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点及对其真实性负责。
作者:
来源:hoffmanfirm