首页
社区
课程
招聘
[注意]废弃智能灯泡也能泄露密码
发表于: 2019-2-2 17:34 8115

[注意]废弃智能灯泡也能泄露密码

2019-2-2 17:34
8115

安全博客 Limited Results 对一些廉价智能灯泡进行了调查,结果发现安全问题并不在于这些设备联网时做了什么,而是它们存储了什么以及如何存储的。

Limited Results测试的灯泡全都不具备真正的安全机制来保护内部芯片上的信息,在拆卸下灯泡的电路板后,测试人员只是接上了几个触点,没过多久便找到了设备的引导数据,并且能够对设备进行写入指令的操作。


这些数据无一例外完全未经加密,其中包括设备所连接无线网络的密码。此外,有一款智能灯泡中还泄漏了私有的 RSA 密钥,这种密钥被用于创建跟服务器之间的安全连接(以检查升级以及向云端上传用户数据,诸如此类)。如果某个人从垃圾桶里捡起这样的智能灯泡,或是以其他手段获取了你正在使用中的设备,那么他便有机会获取这些信息。


早期的物联网设备大多数在开发时未把网络安全作为核心因素考虑其中,Limited Results此次测试的设备包括LIFX、小米、涂鸦智能和WIZ,虽然就目前来说这些设备暴露的信息本身危害性并不是很大,而且获取也有一定难度,不过如果有居心叵测的人还是可以加以利用的,并且更严重的在于这样的问题还不只存在于智能灯泡上。


一些劣质的物联网设备的危害不同于其他劣质产品,比如一台劣质CD机可能会划坏你心爱的CD光碟或者音质没有那么出众,但是一个放在婴儿房间的网络摄像头,一个智能插座带来的危害甚至难以想象,而且这种问题并非是购买高端产品就不存在的。


目前来说,要想把风险降到最低,一种简单的方式就是把智能家居设备连入独立子网络或者访客网络中,路由器的密码设置的复杂一些,安全性高一些。



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 53
活跃值: (578)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
智能家居背后的安全问题是更加严重的。一次网络攻击中,受到威胁的不仅是财产,还可能是生命。
2019-2-2 21:55
1
雪    币: 2095
活跃值: (344)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
别人来捡你家丢的灯泡也还是比较鸡肋
2019-2-3 09:35
0
雪    币: 2821
活跃值: (515)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
应该值得注意,虽然大多数人感觉,即使被他人获取了WIFI密码也无所谓。但是这对于智能家居系统来说,是致命漏洞。试想:WIFI密码泄露导致局域网沦陷,然后家门锁接入智能家居,被恶意控制开门;家里的厨房接入智能家居,被恶意控制可能带来致命的后果。
2019-3-18 21:57
0
游客
登录 | 注册 方可回帖
返回
//