新聞中心

EEPW首頁 > 消費電子 > 業(yè)界動態(tài) > 13條秘籍破解智能家居安全隱患

13條秘籍破解智能家居安全隱患

作者: 時間:2015-03-31 來源:比特網(wǎng) 收藏
編者按:人們對物聯(lián)網(wǎng)設(shè)備安全的重視還不夠,許多設(shè)備和服務(wù)都存在基本的安全問題,這使得消費者的隱私可能被泄露。

  隨著物聯(lián)網(wǎng)(IoT)市場突飛猛進,所有的家電產(chǎn)品,現(xiàn)在幾乎都推出了互聯(lián)型號。據(jù) Gartner 預(yù)測,到 2015 年消費者的智慧家庭環(huán)境中將存在 29 億臺互聯(lián)的物聯(lián)網(wǎng)設(shè)備。

本文引用地址:http://butianyuan.cn/article/271808.htm

  但盡管公眾對智慧家庭的認可度不斷提升,最新的研究顯示,物聯(lián)網(wǎng)設(shè)備的“安全”問題似乎并未得到同樣的重視,這使得消費者的隱私可能被泄露。近日,賽門鐵克最近分析了50 款目前上市的智慧家庭設(shè)備,對其安全性進行了評估。

  智慧家庭設(shè)備可能使用后端云服務(wù)來監(jiān)控設(shè)備的使用情況,或支持用戶遠程控制這些系統(tǒng)。用戶可以通過移動應(yīng)用或 Web門戶網(wǎng)站訪問這些數(shù)據(jù)或控制設(shè)備。

  我們的研究結(jié)果顯示,許多設(shè)備和服務(wù)都存在一些基本的安全問題。

  薄弱的身份認證機制

  這些設(shè)備都沒有使用相互身份認證功能或采用強密碼。更糟糕的是,一些設(shè)備將身份認證密碼限定為簡單的四位PIN 碼,使得用戶無法在云接口上設(shè)置強密碼。此外,這些設(shè)備還不支持雙因素身份認證(2FA),并且無法應(yīng)對密碼暴力破解攻擊,導(dǎo)致用戶很容易成為攻擊的目標。

  Web漏洞

  除了薄弱的身份認證機制外,許多智慧家庭Web接口還容易受到一些眾所周知的Web應(yīng)用漏洞的困擾。在對15個物聯(lián)網(wǎng)云接口執(zhí)行快速測試后,結(jié)果顯示這些設(shè)備存在一些嚴重的漏洞,但此項測試只能檢查表面問題。我們發(fā)現(xiàn)并報告了有關(guān)路徑遍歷、不受限制的文件上傳(遠程代碼執(zhí)行)、遠程文件包含(RFI)和 SQL注入等十項漏洞。除了智能燈泡,涉及到的設(shè)備還包括智能門鎖。我們可以通過互聯(lián)網(wǎng)遠程開門,甚至無需知道密碼。

  本地攻擊

  攻擊者會通過侵入采用弱加密功能的Wi-Fi網(wǎng)絡(luò),攻擊家庭網(wǎng)絡(luò),進而攻擊用戶的智能設(shè)備。我們發(fā)現(xiàn),這些設(shè)備以明文方式本地傳輸密碼或者根本不使用任何身份認證功能。物聯(lián)網(wǎng)設(shè)備還存在一個共同的特點,即采用未簽名的固件更新。此項安全功能的缺失會讓攻擊者能夠輕易攻破家庭網(wǎng)絡(luò),破解物聯(lián)網(wǎng)設(shè)備的密碼。這些被盜的證書可用于執(zhí)行其他命令,甚至還能通過惡意固件更新徹底控制設(shè)備。

  潛在的攻擊

  到目前為止,我們還未發(fā)現(xiàn)大規(guī)模惡意軟件瞄準智慧家庭設(shè)備,例如,路由器和網(wǎng)絡(luò)連接存儲設(shè)備等與電腦相關(guān)的設(shè)備。目前,提出的大多數(shù)物聯(lián)網(wǎng)攻擊只是概念驗證,還沒有使攻擊者產(chǎn)生任何利潤。但這并不意味著,未來當技術(shù)變得更加主流時,攻擊者不會瞄準物聯(lián)網(wǎng)設(shè)備。

  回顧過去,如果攻擊者的手段沒有新意,我們就不會把他們太當回事,但實則相反,他們總能想到新的攻擊方法。即使只是濫用技術(shù)、威脅用戶或者攻擊家庭網(wǎng)絡(luò),網(wǎng)絡(luò)犯罪分子總能夠隨時準備并熱衷于進攻任何目標。

  所以不要過早的滿足于新型智慧家庭自動化項目,需要花點時間想想這些便利的設(shè)備會如何暴露您的信息和家庭網(wǎng)絡(luò),進而使它們受到網(wǎng)絡(luò)攻擊。這就要求各大制造商生產(chǎn)安全性更高的智慧家庭設(shè)備和物聯(lián)網(wǎng)設(shè)備,只有這樣,安全問題才能夠得到改善。

  如果您想了解有關(guān)智慧家庭設(shè)備的更多分析和洞察,請參閱我們的白皮書。

  應(yīng)對方法

  不幸的是,用戶難以自行提高物聯(lián)網(wǎng)設(shè)備的安全性,這是因為大多數(shù)設(shè)備不提供安全的操作模式。盡管如此,用戶還應(yīng)堅持采納以下建議,確保降低其受到攻擊的風險:

  ·在設(shè)備賬戶和 Wi-Fi網(wǎng)絡(luò)上采用獨特的強密碼

  · 更改默認密碼

  · 設(shè)置 Wi-Fi 網(wǎng)絡(luò)時,使用安全性更高的加密方法,如 WPA2

  ·沒有必要時,關(guān)閉或保護物聯(lián)網(wǎng)設(shè)備的遠程訪問功能

  · 如果可以,請使用有線連接,而不是無線連接

  ·如果可以,將設(shè)備連接到獨立的家庭網(wǎng)絡(luò)中

  ·購買二手物聯(lián)網(wǎng)設(shè)備時要十分小心,這是因為這些設(shè)備可能已被篡改

  ·研究供應(yīng)商提供的設(shè)備安全保護措施

  ·根據(jù)您的需要,修改設(shè)備的隱私和安全設(shè)置

  ·禁用多余的功能

  · 安裝最新更新

  ·確保像干擾或網(wǎng)絡(luò)故障等造成的停機不會導(dǎo)致不安全的安裝狀態(tài)

  · 確認是否要使用智能功能,或者普通設(shè)備是否能夠滿足要求

路由器相關(guān)文章:路由器工作原理


路由器相關(guān)文章:路由器工作原理




關(guān)鍵詞: 智能家居

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉