Nest恒溫器漏洞:可遠程探知用戶是否在家
責編:admin |2014-06-26 14:01:36北京時間6月25日上午消息,美國黑客組織GTVHacker本周曝光了Nest智能恒溫器Nest Learning Thermostat的一個漏洞。通過該漏洞,黑客可以基于運動探測器信息、網絡流量,或房間溫度來了解用戶是否正在家中,同時不必開啟這一設備。
通過Nest智能恒溫器,用戶可以獲得許多有趣的智能功能,例如徹底替換Nest的軟件。然而,其中的漏洞也給黑客帶來了可乘之機。
那么這一攻擊需要如何實施?與攻擊其他移動設備或互聯家居設備的方法類似,黑客需要首先獲得一臺Nest智能恒溫器。因此對大部分用戶而言,不必擔心黑客闖入家中,對自己的設備進行修改。GTVHacker提供了一段詳細視頻,而該團隊將在今年8月的DEFCON大會上具體演示這種攻擊方式。
對于這一消息,Nest回應稱,該團隊的軟件“沒有破壞我們服務器及其連接的安全性。就我們所知,目前沒有任何設備遭到遠程入侵”。
根據GTVHacker的說法,這種攻擊利用了Nest智能恒溫器加載軟件的通道(這需要用到USB端口,因此黑客必須實際獲得設備),從而運行其Boot-Loader,并在Root權限下添加一個SSH服務器。這看起來像是合法更新,但留下了一個后門,而設備所有者甚至完全不會意識到發生了任何改變。