近日��,賽門鐵克最近分析了50款目前上市的智慧家庭設(shè)備�����,對其安全性進(jìn)行了評估��,結(jié)果顯示�����,許多設(shè)備和服務(wù)都存在一些基本的安全問題��。這些智能家居設(shè)備究竟存在哪些安全問題呢?又該如何破解�����。
智能家居發(fā)展至今已經(jīng)有數(shù)十年時間�����,之前由于技術(shù)發(fā)展的限制,智能家居給人留下的印象是奢侈��,土豪如比爾蓋茨這樣的世界首富才能用得上智能家居�����。隨著移動互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的飛速發(fā)展�����,現(xiàn)在的智能家居成本已大幅下降��,智能家居不再是富人階層的專享�,而是普通消費者均能消費得起的大眾消費品。
不過���,隨著智能家居使用度的提高,對于智能家居存在的問題也越來越多�����,尤其是物聯(lián)設(shè)備的“隱私安全”問題越來越突出�。近日�����,賽門鐵克最近分析了50款目前上市的智慧家庭設(shè)備�,對其安全性進(jìn)行了評估����,結(jié)果顯示,許多設(shè)備和服務(wù)都存在一些基本的安全問題����。這些智能家居設(shè)備究竟存在哪些安全問題呢?又該如何破解。
薄弱的身份認(rèn)證機(jī)制
這些設(shè)備都沒有使用相互身份認(rèn)證功能或采用強(qiáng)密碼���。更糟糕的是�,一些設(shè)備將身份認(rèn)證密碼限定為簡單的四位PIN碼�����,使得用戶無法在云接口上設(shè)置強(qiáng)密碼�����。此外��,這些設(shè)備還不支持雙因素身份認(rèn)證(2FA),并且無法應(yīng)對密碼暴力破解攻擊�,導(dǎo)致用戶很容易成為攻擊的目標(biāo)。
Web漏洞
除了薄弱的身份認(rèn)證機(jī)制外�,許多智慧家庭Web接口還容易受到一些眾所周知的Web應(yīng)用漏洞的困擾。在對15個物聯(lián)網(wǎng)云接口執(zhí)行快速測試后����,結(jié)果顯示這些設(shè)備存在一些嚴(yán)重的漏洞,但此項測試只能檢查表面問題���。我們發(fā)現(xiàn)并報告了有關(guān)路徑遍歷�����、不受限制的文件上傳(遠(yuǎn)程代碼執(zhí)行)�����、遠(yuǎn)程文件包含(RFI)和 SQL注入等十項漏洞����。除了智能燈泡�����,涉及到的設(shè)備還包括智能門鎖�����。我們可以通過互聯(lián)網(wǎng)遠(yuǎn)程開門�����,甚至無需知道密碼����。
本地攻擊
攻擊者會通過侵入采用弱加密功能的Wi-Fi網(wǎng)絡(luò),攻擊家庭網(wǎng)絡(luò)����,進(jìn)而攻擊用戶的智能設(shè)備。我們發(fā)現(xiàn)����,這些設(shè)備以明文方式本地傳輸密碼或者根本不使用任何身份認(rèn)證功能。物聯(lián)網(wǎng)設(shè)備還存在一個共同的特點�����,即采用未簽名的固件更新���。此項安全功能的缺失會讓攻擊者能夠輕易攻破家庭網(wǎng)絡(luò)���,破解物聯(lián)網(wǎng)設(shè)備的密碼��。這些被盜的證書可用于執(zhí)行其他命令��,甚至還能通過惡意固件更新徹底控制設(shè)備����。
潛在的攻擊
到目前為止����,我們還未發(fā)現(xiàn)大規(guī)模惡意軟件瞄準(zhǔn)智慧家庭設(shè)備,例如����,路由器和網(wǎng)絡(luò)連接存儲設(shè)備等與電腦相關(guān)的設(shè)備。目前����,提出的大多數(shù)物聯(lián)網(wǎng)攻擊只是概念驗證,還沒有使攻擊者產(chǎn)生任何利潤��。但這并不意味著����,未來當(dāng)技術(shù)變得更加主流時,攻擊者不會瞄準(zhǔn)物聯(lián)網(wǎng)設(shè)備����。
回顧過去,如果攻擊者的手段沒有新意�,我們就不會把他們太當(dāng)回事,但實則相反���,他們總能想到新的攻擊方法�。即使只是濫用技術(shù)��、威脅用戶或者攻擊家庭網(wǎng)絡(luò)�,網(wǎng)絡(luò)犯罪分子總能夠隨時準(zhǔn)備并熱衷于進(jìn)攻任何目標(biāo)。
所以不要過早的滿足于新型智慧家庭自動化項目�,需要花點時間想想這些便利的設(shè)備會如何暴露您的信息和家庭網(wǎng)絡(luò),進(jìn)而使它們受到網(wǎng)絡(luò)攻擊�����。這就要求各大制造商生產(chǎn)安全性更高的智慧家庭設(shè)備和物聯(lián)網(wǎng)設(shè)備��,只有這樣,安全問題才能夠得到改善�。
破解之法
不幸的是,用戶難以自行提高物聯(lián)網(wǎng)設(shè)備的安全性�����,這是因為大多數(shù)設(shè)備不提供安全的操作模式�����。盡管如此���,用戶還應(yīng)堅持采納以下建議�,確保降低其受到攻擊的風(fēng)險:
1���、在設(shè)備賬戶和Wi-Fi網(wǎng)絡(luò)上采用獨特的強(qiáng)密碼;2�、更改默認(rèn)密碼;3��、設(shè)置Wi-Fi網(wǎng)絡(luò)時��,使用安全性更高的加密方法��,如WPA2;4���、沒有必要時����,關(guān)閉或保護(hù)物聯(lián)網(wǎng)設(shè)備的遠(yuǎn)程訪問功能;5、如果可以��,請使用有線連接���,而不是無線連接;6、如果可以����,將設(shè)備連接到獨立的家庭網(wǎng)絡(luò)中;7、購買二手物聯(lián)網(wǎng)設(shè)備時要十分小心�,這是因為這些設(shè)備可能已被篡改;8、研究供應(yīng)商提供的設(shè)備安全保護(hù)措施;9�、根據(jù)您的需要,修改設(shè)備的隱私和安全設(shè)置;10����、禁用多余的功能;11、安裝最新更新;12���、確保像干擾或網(wǎng)絡(luò)故障等造成的停機(jī)不會導(dǎo)致不安全的安裝狀態(tài);13��、確認(rèn)是否要使用智能功能��,或者普通設(shè)備是否能夠滿足要求����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的���,皆為無意�。如您是字體廠商����、圖片文字廠商等版權(quán)方,且不允許本站使用您的字體和圖片文字等素材�,請聯(lián)系我們,本站核實后將立即刪除���!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用�����,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償!敬請諒解��!
粵公網(wǎng)安備 44030402000264號