從Belkin WeMo安全漏洞事件分析智能家居的安全性
責(zé)編:admin |2015-02-09 16:32:29位于Seattle的安保公司IOActive昨天(2月18號(hào))宣布了這項(xiàng)研究結(jié)果。IOActive的聲明中指出,WeMo設(shè)備的軟件漏洞可能讓攻擊者遠(yuǎn)程控制設(shè)備,安裝惡意固件,監(jiān)測目標(biāo)設(shè)備的運(yùn)行狀況甚至進(jìn)入目標(biāo)設(shè)備的計(jì)算機(jī)網(wǎng)絡(luò)。
WeMo設(shè)備包括燈開關(guān),移動(dòng)檢測器和安保相機(jī)。在CES2014上,Belkin透露到,智能炊具,智能燈泡甚至一個(gè)可以智能化低電壓設(shè)備的DIY包很快就要加入它的生產(chǎn)線了。很容易想象到,在這些普通的設(shè)備里,惡意的黑客有可乘之機(jī)。
這種脆弱性存在于WeMo的固件升級(jí)過程中,這個(gè)過程完全依賴于連接到WeMo設(shè)備的智能手機(jī)應(yīng)用。值得贊揚(yáng)的是,Belkin的每次新的固件更新都加密了,但是,每次新更新的秘鑰已經(jīng)在系統(tǒng)現(xiàn)存的固件內(nèi)了。實(shí)際上,這就讓黑客在固件發(fā)布前就能夠癱瘓它了。
Belkin 也對(duì)自己的安全插座層(SSL)網(wǎng)絡(luò)連接安保協(xié)議比較松懈。當(dāng)WeMo設(shè)備連接到Belkin的中心服務(wù)器時(shí),Belkin沒有馬上承認(rèn)它的SSL憑證。這就使得任何有SSL憑證(一種很容易得到的安保協(xié)議)的人可以對(duì)不會(huì)懷疑的用戶進(jìn)行虛假固件升級(jí)。
你用WeMo設(shè)備的時(shí)候,你可能不想拔掉它們,然后在接下來的時(shí)間里像一個(gè)森林隱士一樣活著。Belkin很快就回應(yīng)了IOActive的新發(fā)現(xiàn),并且在昨天晚些時(shí)候宣布它已經(jīng)用最新的固件升級(jí)修復(fù)了這個(gè)漏洞。
首先得確保你的設(shè)備處于被保護(hù)狀態(tài),然后打開iOS的App Store或者Google Play 商店,確保你的WeMo應(yīng)用是最新版本的,并且這款應(yīng)用可以把最新的固件傳輸?shù)皆O(shè)備里。
盡管WeMo的產(chǎn)品線現(xiàn)在是安全的,但卻透露出了智能家居技術(shù)最隱秘的秘密:總的來說,智能家居安保協(xié)議很搞笑。ZigBee和Z-Wave是兩項(xiàng)最普遍的智能家居協(xié)議,幾個(gè)月前就被黑過,但很少的公司有興趣修復(fù)這些個(gè)問題。
如果沒有了安保智能家居協(xié)議,制造商將依靠傳統(tǒng)的Wi-Fi架構(gòu)。標(biāo)準(zhǔn)的計(jì)算機(jī)程序和移動(dòng)應(yīng)用的安全程度還得看程序員是怎么設(shè)計(jì)的。沒有什么程序是不可能被黑的-這正如WeMo的情況一樣。
大部分不安全的應(yīng)用可以透露用戶的郵箱地址,甚至信用卡號(hào)。甚至一款不安全的智能家居設(shè)備能讓房子著火!當(dāng)然,這是一種比較極端的例子。希望在接下來的幾年里,智能家居的安保問題能夠得到非常有效的解決。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧