现如今很多人家里装有智能摄像头,下载一个相关联的应用程序,可以查看家里的情况,比如老人独自在家是否安全,保姆带娃有没有尽责,有没有进小偷之类的。这里要给摄像头的主人提个醒,除了你,可能还有成百上千双陌生人的眼睛在看着你的家。
智能照明产品中的漏洞
近期,某智能照明产品被爆出现高严重性漏洞,公告中强调了此款智能产品在该行业设备固件中以纯文本形式存储敏感Wi-Fi凭证的相关风险。
智能灯泡(例如支持Wi-Fi的型号)在精通技术的消费者中越来越受欢迎。这些灯泡连接到家庭Wi-Fi网络,允许用户通过手机应用程序从世界任何地方控制亮度、颜色和其他设置。配置过程相对简单:安装后,可以通过特定操作将设备转变为连接到智能手机进行配置的临时Wi-Fi接入点。然而,这种易用性也为潜在的黑客攻击提供了机会。
如果黑客获得了对这些设备的物理访问权限,他们可以通过技术手段提取固件并获取敏感数据。以纯文本形式存储Wi-Fi凭证不仅简化了设置过程,还可能使潜在攻击者轻松访问这些凭证。获得Wi-Fi凭据后,黑客就可以连接到家庭网络,从而可能获得对其他连接设备和私人信息的访问权限。该应急响应机构强烈建议用户将其固件升级到指定版本,以缓解此漏洞。
这些电器,竟然也被盯上了?
随着家里联网的设备越来越多,黑客入侵的途径也越发让人意料不到。
1、不给钱就冷死你
2016 年的 DEF CON 黑客大会上,来自英国安全公司的研究员展示了一种攻击家庭恒温器的勒索软件。
通过勒索程序,入侵者可以远程锁定恒温器的温度,开到极高或极低,并且在屏幕上显示勒索信息。
这真的够狠,不交钱,冷死或热死,还巨费电;交钱,你知道今天 1 个比特币差不多等于 50 万人民币吗……
“你的恒温器被永久设置为1摄氏度,如果你想重新获得控制权,请存入1比特币”|OWASP London/Youtube
注意,这不完全是虚构案例,背后是研究人员在恒温器中发现的真实漏洞。当然,他们也连连承诺会尽快修复该漏洞。
不免走神发出疑惑:这算魔法攻击还是物理攻击呢?
2、灯泡感染你全家
2020年,研究人员成功入侵了一款智能灯泡,并可以远程调整灯泡的颜色和亮度,让你温馨宁静的家变成闪耀舞池。
这只是第一步。
发现灯泡发疯,你总要去纠正一下吧?当你在手机里重置灯泡并再次接入网络时,这颗灯泡已经感染了“病毒”,并通过网络开始传染:向网桥发送大量数据,从而触发缓冲区溢出并安装恶意软件。
原来这个灯变成了黑客的阿拉丁神灯啊!
还好这只是试验,制造商也在后续升级中修复了漏洞。不过这也暴露出一个问题:一些不完善的智能设备存在漏洞,很容易成为攻入家庭网络的入口——然而这些联网的小电器,往往是我们最不上心的。
这种便宜的联网灯泡,谁会想到它是黑客的入侵通道呢?
3、连儿童玩具也不放过!
智能化的玩具也有可能泄露一些秘密。有一款泰迪熊可以当电话用,孩子能通过它跟远方的父母进行联网语音,异地的情侣当然也能使用。
创意很浪漫,但设计这款玩具的公司忽略了数据安全问题,他们一直将用户信息和语音数据放在一个没有防火墙保护的数据库中。于是,2017 年,这个数据库被黑客入侵了,超过 200 万条录音被公布在了网上。
这会带来多少个喜怒哀乐的后果,我们可以自行脑补——万幸这个玩具并没有拍照和拍视频的功能。
被当枪使的当事泰迪熊丨cloudpets.com
构建安全物联网生态系统
虽然智能家居和其他物联网设备的便利性是不可否认的,但这些好处是以潜在的安全弱点为代价的。对于用户来说,采取主动措施至关重要,例如:
选择可靠品牌与产品:
优先购买知名且信誉良好的智能家居品牌产品,这些品牌通常更注重产品的安全性和用户隐私保护。
加强密码管理:
为每个智能家居设备设置复杂且独特的密码,避免使用容易猜测或常见的密码。
定期更换密码,以减少被破解的风险。
限制远程访问:
除非必要,否则不要开启智能家居设备的远程访问功能。
如果需要远程访问,确保使用安全的网络连接,并设置强密码和防火墙。
定期更新固件和软件:
定期检查并更新智能家居设备的固件和软件,以修复已知的安全漏洞。
关注厂商发布的安全公告和更新通知,及时采取措施。
保护个人信息:
在使用智能家居设备时,避免将敏感信息(如身份证号码、银行卡号等)存储在设备上或通过网络传输。
谨慎处理与智能家居设备相关的个人信息,避免泄露给不可信的第三方。
使用安全协议:
确保智能家居设备使用安全的通信协议,如HTTPS、TLS等,以加密数据传输过程。
避免使用不安全的公共Wi-Fi网络来连接智能家居设备,以防止数据被窃取或篡改。
物理安全:
确保智能家居设备的物理安全,如将设备放置在不易被他人接触的位置。
避免将智能家居设备的控制权限交给不熟悉的人或第三方机构。