-
-
[注意]废弃智能灯泡也能泄露密码
-
2019-2-2 17:34
7531
-
安全博客 Limited Results 对一些廉价智能灯泡进行了调查,结果发现安全问题并不在于这些设备联网时做了什么,而是它们存储了什么以及如何存储的。
Limited Results测试的灯泡全都不具备真正的安全机制来保护内部芯片上的信息,在拆卸下灯泡的电路板后,测试人员只是接上了几个触点,没过多久便找到了设备的引导数据,并且能够对设备进行写入指令的操作。
这些数据无一例外完全未经加密,其中包括设备所连接无线网络的密码。此外,有一款智能灯泡中还泄漏了私有的 RSA 密钥,这种密钥被用于创建跟服务器之间的安全连接(以检查升级以及向云端上传用户数据,诸如此类)。如果某个人从垃圾桶里捡起这样的智能灯泡,或是以其他手段获取了你正在使用中的设备,那么他便有机会获取这些信息。
早期的物联网设备大多数在开发时未把网络安全作为核心因素考虑其中,Limited Results此次测试的设备包括LIFX、小米、涂鸦智能和WIZ,虽然就目前来说这些设备暴露的信息本身危害性并不是很大,而且获取也有一定难度,不过如果有居心叵测的人还是可以加以利用的,并且更严重的在于这样的问题还不只存在于智能灯泡上。
一些劣质的物联网设备的危害不同于其他劣质产品,比如一台劣质CD机可能会划坏你心爱的CD光碟或者音质没有那么出众,但是一个放在婴儿房间的网络摄像头,一个智能插座带来的危害甚至难以想象,而且这种问题并非是购买高端产品就不存在的。
目前来说,要想把风险降到最低,一种简单的方式就是把智能家居设备连入独立子网络或者访客网络中,路由器的密码设置的复杂一些,安全性高一些。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
