卡巴斯基实验室研究人员发现管理所有联网模块和安装在家庭的传感器的智慧家庭中心存在漏洞。
卡巴斯基实验室研究人员发现管理所有联网模块和安装在家庭的传感器的智慧家庭中心存在漏洞。分析显示,这些漏洞能够让远程攻击者访问产品服务器,下载包含任意用户个人数据的档案,利用这些数据访问用户账户,最终控制整个家庭系统。
随着联网设备越来越普及,智慧家庭中心的需求量增大。它们让家庭管理变得更为简单,将所有设备设置集中在一起,并允许用户通过网络界面或移动应用程序对其进行设置和控制。有些设备甚至充当着安全系统。与此同时,作为一个“统一”的平台,也使得该设备成为吸引网络罪犯目标,因为它可以作为远程攻击的入口。 去年早些时候,卡巴斯基实验室分析了一款智慧家居设备,发现该设备存在弱密码算法和开发端口隐患,能够为入侵者提供巨大的攻击面。 在新的调查中,研究人员发现,智能设备架构中的不安全设计和漏洞可能使罪犯访问用户的家。
首先,研究人员发现智慧家庭中心在与服务器通讯时,会发送用户数据,包括登陆智慧中心网页界面需要的登陆凭证——用户ID和密码。不仅如此,其他个人信息如用户用于接收警告信息的电话号码也可以通过该设备进行监听。远程攻击者可以通过向服务器发送包含设备序列号的合法请求来下载带有此信息的档案。 分析表明,序列号也可以被入侵者发现,因为它的生成过程非常简单。
根据安全专家,序列号可以使用逻辑分析进行暴力破解,然后通过对服务器发送请求进行确认。 如果具有该序列号的设备在云系统中注册,则犯罪分子将收到确认信息。 因此,他们可以登录到用户的网页账户并管理连接到中心的传感器和控制器的设置。
所有关于新发现的漏洞的信息都已经向供应商报告,现在正在修复中。
“尽管物联网设备是网络安全研究人员近几年的关注焦点,但上述情况表明这些设备仍不安全。我们随机选择了智能家庭中心,并且发现这些设备容易受到攻击的事实并非例外,而是对物联网世界持续性安全问题的再一次证实。现在来看,似乎每台物联网设备都包含只要一个安全问题,甚至非常简单的设备也如此。例如,我们最近分析了一款智能灯泡。你可能会问,一个灯泡能够出现什么问题呢,它只是能够通过你的智能手机改变灯光的颜色或一些其他照明参数。们发现灯泡之前连接过的Wi-Fi网络的所有凭证(即名称和密码)都将被存储在其存储器中,而且没有加密。换句话说,物联网安全领域目前的情况是,即使您的灯泡也可能会危及您的安全,”卡巴斯基实验室ICS CERT漏洞研究小组负责人Vladimir Dashchenko说。
“设备制造商在开发和发布他们的产品时,需要确保对用户采取适当的保护,同时要密切关注安全要求,这两点非常重要,因为即使是小细节上的不安全设计,也会导致危险的后果,”他总结说。
为了确保安全,卡巴斯基实验室强烈建议用户采取以下措施:
- 一定要使用复杂密码,并且不要忘记定期更改密码。
- 查看有关智能设备的最新信息以及最新发现的漏洞信息(这些信息通常可以在线浏览),提高自己的安全意识。
为确保您的“智慧”家庭和物联网设备安全,卡巴斯基实验室推出了针对安卓平台的免费应用——卡巴斯基物联网扫描器。该解决方案能够扫描您的家庭Wi-Fi网络,告之用户连接到家庭网络上的设备以及其安全级别。
为了消除网络安全风险,卡巴斯基实验室建议制造商和开发商在产品发布前进行安全测试,并遵循物联网网络安全标准。 最近,卡巴斯基实验室对ITU-T Y.4806(国际电信联盟 — 电信部门)标准的推出做出了贡献,该标准旨在帮助对物联网系统的进行适当保护,包括智慧城市、可穿戴设备和独立医疗设备等等。
更多有关这些研究的详情,请访问Securelist.com
