ifanr 積木
隨著物聯網的發展,我們將會迎來更加智慧化的生活。不過,物聯網也是一把“雙刃劍”,在更多的方便之外,它也帶來了新的安全隱患。這些聯網設備已經成為駭客新的攻擊目標。
在黑帽安全大會上,西班牙駭客 Jesus Molina 會分享自己的發現。他現在為一家美國獨立安全諮詢公司工作。去年他在深圳的瑞吉酒店入住時,對房間內的操控系統產生興趣。今年年初,他特意去酒店住了幾天,找到了一些安全性漏洞。通過這些漏洞,他能夠控制酒店 250 多個房間裡的溫控器、燈光、電視、百葉窗,還有門外的“請勿打擾”電子燈。
瑞吉酒店向每個客人提供了 iPad 和電子管家應用,用來控制房間裡的各種設施,但是,他們使用的通信協議 KNX 不安全,沒有提供加密功能。“KNX/IP 協議不能保證安全,” Molina 對 Wired 網站說,“因此,任何一個酒店或公共場所,如果在不安全的網路上使用該協定的話,很容易使自己成為攻擊對象。”
更為糟糕的是,客戶控制物聯網設備和流覽網頁時,使用了同一個開放無線網路。只要在無線網路範圍內,駭客可以輕易地實施攻擊。另外,由於酒店沒有對 iPad 進行認證,駭客也能用筆記本控制其他房間的設備。駭客還可以在 iPad 上安裝木馬程式,實現遠端遙控。“我可以身在柏林,然後控制 iPad,讓它關掉酒店裡的燈光。” 他說。他還能在 iPad 上安裝惡意程式,讓它隨機選定時刻,開關房間裡的燈光和電視。
Molina 向酒店的安全主管報告了這個問題。安全主管承認了問題的存在,並且說他正在努力修補。不過,這並不容易。酒店需要對全部系統進行更換。Molina 並不確定他能夠控制多少設備。酒店確認說,電子管家不能控制門鎖。同時,他也瞭解到,其它的連鎖酒店使用了不同的系統。
Molina 發現的安全問題,並不僅僅在酒店存在。目前,許多家用自動化系統都使用了不安全的 KNX 協定。“人們使用這些協議並不是為物聯網構建的,” Molina 說,“在無線的情況下,家庭自動化使用 KNX 完全沒有道理。我們在物聯網上進行的遊擊戰會很危險。對此,我不會輕描淡寫。”
圖片來自 Wired
0 comments:
張貼留言