智能家居安全漏洞大起底and破解
阅读:896发布时间:2015-7-9
智能家居发展至今已经有数十年时间,之前由于技术发展的限制,智能家居给人留下的印象是,土豪如比尔盖茨这样的世界首富才能用得上智能家居。随着移动互联网以及物联网的飞速发展,现在的智能家居成本已大幅下降,智能家居不再是富人阶层的专享,而是普通消费者均能消费得起的大众消费品。
不过,随着智能家居使用度的提高,对于智能家居存在的问题也越来越多,尤其是物联设备的“隐私安全”问题越来越突出。近日,赛门铁克zui近分析了50款目前上市的智慧家庭设备,对其安全性进行了评估,结果显示,许多设备和服务都存在一些基本的安全问题。这些智能家居设备究竟存在哪些安全问题呢?又该如何破解。
薄弱的身份认证机制
这些设备都没有使用相互身份认证功能或采用强密码。更糟糕的是,一些设备将身份认证密码限定为简单的四位PIN码,使得用户无法在云接口上设置强密码。此外,这些设备还不支持双因素身份认证(2FA),并且无法应对密码暴力破解攻击,导致用户很容易成为攻击的目标。
Web漏洞
除了薄弱的身份认证机制外,许多智慧家庭Web接口还容易受到一些*的Web应用漏洞的困扰。在对15个物联网云接口执行快速测试后,结果显示这些设备存在一些严重的漏洞,但此项测试只能检查表面问题。我们发现并报告了有关路径遍历、不受限制的文件上传(远程代码执行)、远程文件包含(RFI)和SQL注入等十项漏洞。除了智能灯泡,涉及到的设备还包括智能门锁。我们可以通过互联网远程开门,甚至无需知道密码。
本地攻击
攻击者会通过侵入采用弱加密功能的Wi-Fi网络,攻击家庭网络,进而攻击用户的智能设备。我们发现,这些设备以明文方式本地传输密码或者根本不使用任何身份认证功能。物联网设备还存在一个共同的特点,即采用未签名的固件更新。此项安全功能的缺失会让攻击者能够轻易攻破家庭网络,破解物联网设备的密码。这些被盗的证书可用于执行其他命令,甚至还能通过恶意固件更新*控制设备。
潜在的攻击
到目前为止,我们还未发现大规模恶意软件瞄准智慧家庭设备,例如,路由器和网络连接存储设备等与电脑相关的设备。目前,提出的大多数物联网攻击只是概念验证,还没有使攻击者产生任何利润。但这并不意味着,未来当技术变得更加主流时,攻击者不会瞄准物联网设备。
回顾过去,如果攻击者的手段没有新意,我们就不会把他们太当回事,但实则相反,他们总能想到新的攻击方法。即使只是滥用技术、威胁用户或者攻击家庭网络,网络*分子总能够随时准备并热衷于进攻任何目标。
所以不要过早的满足于新型智慧家庭自动化项目,需要花点时间想想这些便利的设备会如何暴露您的信息和家庭网络,进而使它们受到网络攻击。这就要求各大制造商生产安全性更高的智慧家庭设备和物联网设备,只有这样,安全问题才能够得到改善。
如果您想了解有关智慧家庭设备的更多分析和洞察,请参阅我们的白皮书。
破解之法
不幸的是,用户难以自行提高物联网设备的安全性,这是因为大多数设备不提供安全的操作模式。尽管如此,用户还应坚持采纳以下建议,确保降低其受到攻击的风险:
1、在设备账户和Wi-Fi网络上采用*的强密码;2、更改默认密码;3、设置Wi-Fi网络时,使用安全性更高的加密方法,如WPA2;4、没有必要时,关闭或保护物联网设备的远程访问功能;5、如果可以,请使用有线连接,而不是无线连接;6、如果可以,将设备连接到独立的家庭网络中;7、购买二手物联网设备时要十分小心,这是因为这些设备可能已被篡改;8、研究供应商提供的设备安全保护措施;9、根据您的需要,修改设备的隐私和安全设置;10、禁用多余的功能;11、安装更新;12、确保像干扰或网络故障等造成的停机不会导致不安全的安装状态;13、确认是否要使用智能功能,或者普通设备是否能够满足要求
