曉網科技:警惕智慧家庭帶來的隱私泄露
2018-04-09
admin
113
隨著物聯網(IoT)市場突飛猛進,所有的家電產品,現在幾乎都推出了互聯型號。據Gartner預測,到2015年消費者的智慧家庭環(huán)境中將存在29億臺互聯的物聯網設備。
但盡管公眾對智慧家庭的認可度不斷提升,最新的研究顯示,物聯網設備的“安全”問題似乎并未得到同樣的重視,這使得消費者的隱私可能被泄露。
智慧家庭設備可能使用后端云服務來監(jiān)控設備的使用情況,或支持用戶遠程控制這些系統(tǒng)。用戶可以通過移動應用或Web門戶網站訪問這些數據或控制設備。
薄弱的身份認證機制
這些設備都沒有使用相互身份認證功能或采用強密碼。更糟糕的是,一些設備將身份認證密碼限定為簡單的四位PIN碼,使得用戶無法在云接口上設置強密碼。此外,這些設備還不支持雙因素身份認證(2FA),并且無法應對密碼暴力破解攻擊,導致用戶很容易成為攻擊的目標。
Web漏洞
除了薄弱的身份認證機制外,許多智慧家庭Web接口還容易受到一些眾所周知的Web應用漏洞的困擾。在對15個物聯網云接口執(zhí)行快速測試后,結果顯示這些設備存在一些嚴重的漏洞,但此項測試只能檢查表面問題。我們發(fā)現并報告了有關路徑遍歷、不受限制的文件上傳(遠程代碼執(zhí)行)、遠程文件包含(RFI)和SQL注入等十項漏洞。除了智能燈泡,涉及到的設備還包括智能門鎖。我們可以通過互聯網遠程開門,甚至無需知道密碼。
本地攻擊
攻擊者會通過侵入采用弱加密功能的Wi-Fi網絡,攻擊家庭網絡,進而攻擊用戶的智能設備。我們發(fā)現,這些設備以明文方式本地傳輸密碼或者根本不使用任何身份認證功能。物聯網設備還存在一個共同的特點,即采用未簽名的固件更新。此項安全功能的缺失會讓攻擊者能夠輕易攻破家庭網絡,破解物聯網設備的密碼。這些被盜的證書可用于執(zhí)行其他命令,甚至還能通過惡意固件更新徹底控制設備。
潛在的攻擊
到目前為止,還未發(fā)現大規(guī)模惡意軟件瞄準智慧家庭設備,例如,路由器和網絡連接存儲設備等與電腦相關的設備。目前,提出的大多數物聯網攻擊只是概念驗證,還沒有使攻擊者產生任何利潤。但這并不意味著,未來當技術變得更加主流時,攻擊者不會瞄準物聯網設備。
回顧過去,如果攻擊者的手段沒有新意,我們就不會把他們太當回事,但實則相反,他們總能想到新的攻擊方法。即使只是濫用技術、威脅用戶或者攻擊家庭網絡,網絡犯罪分子總能夠隨時準備并熱衷于進攻任何目標。
所以不要過早的滿足于新型智慧家庭自動化項目,需要花點時間想想這些便利的設備會如何暴露您的信息和家庭網絡,進而使它們受到網絡攻擊。這就要求各大制造商生產安全性更高的智慧家庭設備和物聯網設備,只有這樣,安全問題才能夠得到改善。
廣州曉網電子科技有限公司(簡稱曉網科技)成立于2011年,位于廣州番禺清華科技園,是一家集研發(fā)、銷售、方案設計為一體的高新技術企業(yè)。
曉網科技打造的物聯網基礎平臺曉網云,打通物聯網傳輸層,實現ZigBee模塊、NB-IOT、Wi-Fi、Ethenet、 2G/3G/4G、TTL、RS232、RS485、USB等協(xié)議接口數據互通,可進行各種無線數據的采集、傳輸、監(jiān)控,廣泛應用于智能照明(含道路照明,商業(yè)照明,農業(yè)照明)、工廠自動化數據采集、溫濕度監(jiān)控、RFID人員物資定位等領域。
標簽: 模塊
