智能家居已經(jīng)進(jìn)入了我們生活的方方面面,但智能設(shè)備在帶來(lái)便利的同時(shí)也帶來(lái)了安全風(fēng)險(xiǎn)。之前我們已經(jīng)討論過(guò)很多針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊事件���,近日我們又發(fā)現(xiàn)了一個(gè)針對(duì)智能家居設(shè)備的攻擊方式����。
入侵Nest溫控器產(chǎn)品
TrapX Security的研究者演示了如何入侵聯(lián)網(wǎng)狀態(tài)下的Nest(谷歌收購(gòu)的智能家居公司)溫度調(diào)節(jié)器�����,同時(shí)還演示了通過(guò)入侵溫度調(diào)節(jié)器進(jìn)一步入侵同一網(wǎng)絡(luò)下的其他設(shè)備����。
這一攻擊并不簡(jiǎn)單,因?yàn)楣翩湕l開(kāi)始于物理訪問(wèn)該設(shè)備�。TrapX Security的研究是基于佛羅里達(dá)中央大學(xué)研究員的研究而展開(kāi)的,他們認(rèn)為通過(guò)設(shè)備的USB端口入侵Linux操作系統(tǒng)便可掌控溫度調(diào)節(jié)器�。研究員把他們自定義的惡意軟件加載到溫度調(diào)節(jié)器上,阻止用戶的溫度調(diào)節(jié)器數(shù)據(jù)發(fā)送回Nest服務(wù)器�。從這一方面來(lái)看,專家們認(rèn)為問(wèn)題存在于溫度調(diào)節(jié)器硬件本身�����,很難修復(fù)。
同樣的方法����,TrapX Security的研究員在Nest的RAM7處理器芯片上加載了他們的惡意軟件。之后他們便可查看到很多溫度調(diào)節(jié)器上的數(shù)據(jù)����,包括本地網(wǎng)絡(luò)的無(wú)線密碼和同一網(wǎng)絡(luò)下其他用戶的有關(guān)數(shù)據(jù)。
研究人員發(fā)現(xiàn)�,存儲(chǔ)在Nest本地的數(shù)據(jù)沒(méi)有加密,但是在通過(guò)云傳輸發(fā)送數(shù)據(jù)到服務(wù)器時(shí)卻使用了加密�����。在測(cè)試中�,研究者可通過(guò)利用設(shè)備上存在的已知漏洞獲得設(shè)備的管理員權(quán)限,然后還可入侵同一網(wǎng)絡(luò)下的其他設(shè)備��。
Nest的發(fā)言人對(duì)此表示���,到目前為止他們還沒(méi)有收到其設(shè)備被遠(yuǎn)程攻擊的案例。
小編推薦閱讀
