2016年8月17日 星期三

‧ 智慧門鎖比你想的更不安全

leiphone 張馳


智能门锁比你想的更不安全

物聯網給我們的未來很美好,但總是被忽略的一個問題是安全。在本週的DEF CON大賽上,兩位研究人員Anthony RoseBen Ramsey再次向我們展示了這一點,他們輕易就駭進了12BLE藍牙智慧門鎖

他們發現,一些設備直接用明文儲存密碼,比如QuicklockiBluLock的鎖。任何擁有藍牙分析儀的人,都能輕易入侵這些設備。還有一些鎖易受重放攻擊(replay attacks),這意味著入侵者能在設備擁有者解鎖時,通過無線方式獲得數據,然後重放這些數據就能開鎖。其它一些攻擊方式更複雜一些,但同樣不算難。

還有其他研究人員也發現了門鎖的漏洞,比如August的鎖可被從配對的手機中,提取出一次性的密鑰,可喜的是這一漏洞已經被堵住。


更令人傷心的是,他兩在向那些智能鎖廠商發出漏洞報告後,僅一家作出了回應,但它沒發佈補丁。


對眾多設備而言,只要攻擊者使用不算高端的設備和工具就能破解,Ramsey兩人所用的工具就是便宜貨,加起來不到200美元。對於門鎖這樣事關安全的智慧產品,最好還是購買品牌廠家的貨。

                                                                                                                                                                                                                            

沒有留言:

張貼留言