最新新闻
三星显示器通过 Sync-OLED 平台在 OLED 研究上加倍努力 三星Galaxy S21 Ultra 在 Galaxy S22 Ultra 发布之前就停产了 三星电子英国加入沃达丰的 business.connected 计划 Galaxy S22 将在三星的 Decentraland 虚拟世界中推出 Galaxy S22 发布后加入三星的元宇宙寻宝游戏 斯巴鲁惨淡的财务报告及其对新车购买者的意义 消费者报告分析师推荐立即购买低于建议零售价的新车 这就是 Lucid Airs 内饰的特别之处 科尼赛克的夸克电动机重 63 磅 功率为 335 马力 经典雪佛兰发动机交换注意事项 BANSBAO斑消宝强势宣告品牌实力,霸屏纽约纳斯达克 为家庭而生的电视 创维守护者Q41 Pro革新智慧守护家庭新体验 Omega Plus奥鲑冠,爱宠的海洋营养专家,宠主的好帮手 【亚洲电缆】电缆进水的处理办法及预防措施 跨境电商卖家选择积加ERP,究竟能为自己带来哪些好处? 狗狗驱虫用什么牌子的好?驱虫要选爱沃克 Google 确认 Material You 动态主题将出现在更多设备上 适用于 Android 的 Apple Music 测试版参考了未发布的 Apple Classical 应用程序 如何为 Google Pixel 和其他 Android 设备下载 Android 13 Reddit 揭示了其 Clubhouse 克隆 Reddit Talk 的新功能 Windows 11 build 22000.526 为 Beta 的任务栏带来天气 微软将为心怀不满的 G Suite 旧用户提供 Microsoft 365 优惠 谷歌+最终将在 2023 年随着Currents的关闭而永远消失 三星 Galaxy S22 系列是否支持无线充电 谷歌确认三星 一加等公司将在 Android 12 上使用其动态颜色主题 HP CHROMEBOOK X360 14C 评测 只需一秒钟即可使用 ULEFONE ARMOR X10 打开应用程序 TECNO全球首发多色光异构技术 经济实惠的坚固型 OUKITEL WP18 即将推出 三星 Galaxy S22 Ultra 提供高达 1TB 的存储选项
您的位置:首页 >理财 >

流行的智能家居中心的安全漏洞让黑客解锁了大门

2019-07-03 11:56:23   来源:
导读 这正是安全研究人员Chase Dardaman和Jason Wheeler对Zipato智能中心之一所做的。在周二发布并与TechCrunch共享的新研究中,Dardaman和Whe

这正是安全研究人员Chase Dardaman和Jason Wheeler对Zipato智能中心之一所做的。在周二发布并与TechCrunch共享的新研究中,Dardaman和Wheeler发现了三个安全漏洞,当它们链接在一起时,可能会被滥用来打开带有智能锁的前门。智能家居技术在过去一年受到越来越多的关注。虽然对某些人来说很方便,但安全专家长期以来一直警告说,在设备上添加互联网连接会增加攻击面,使设备的安全性低于传统设备。控制家庭智能设备的智能家居集线器,如水表甚至前门锁,都可以被滥用,以便房东可以随时进入租户家中。

今年1月,安全专家莱斯利卡尔特写了关于她的房东决定安装智能锁的决定- 迫使她寻找新家。其他租房者和租户面临来自房东的类似压力,甚至起诉保留使用实物钥匙的权利。

Dardaman和Wheeler几个月前开始研究ZipaMicro,这是一个由克罗地亚公司Zipato开发的流行的智能家居中心,但只有在缺陷修复后才发布他们的调查结果。

研究人员发现,他们可以从设备上的存储卡中提取集线器的“root”私钥SSH密钥 - 具有最高访问级别的用户帐户。Wheeler说,拥有私钥的任何人都可以在不需要密码的情况下访问设备。

他们后来发现私有SSH密钥在销售给客户的每个集线器中都是硬编码的 - 这使得安装了相同集线器的每个家庭面临风险。

研究人员使用该私钥从设备中下载了一个包含用于访问集线器的加密密码的文件。他们发现智能集线器使用“传递哈希”认证系统,该系统不需要知道用户的明文密码,只需知道加密版本。通过获取密码并将其传递到智能中心,研究人员可以诱骗设备认为他们是房主。

攻击者所要做的就是发送命令告诉锁打开或关闭。只需几行代码,研究人员就构建了一个脚本,用于锁定和解锁连接到易受攻击的智能集线器的智能锁。

概念验证代码让黑客解锁智能锁(图片来源:Chase Dardaman,Jason Wheeler)

更糟糕的是,达达曼说,任何为其建筑物中的所有公寓注册一个主要帐户的公寓大楼都允许他们从同一密码哈希“打开任何门”。

研究人员承认,他们的发现并不是进入每个人家庭的完美骨架钥匙。为了利用这些漏洞,攻击者需要与易受攻击的智能中心位于同一Wi-Fi网络上。Dardaman表示,任何直接连接到互联网的集线器都可以远程利用。研究人员使用Shodan发现了五种这类易受攻击的设备,Shodan是一种公共设备和数据库的搜索引擎。

Zipato表示,它在20,000个家庭中拥有112,000台设备,但确切的易受攻击的集线器数量尚不清楚。

我们询问了Zipato客户SmartRent和最大的智能家居自动化供应商之一,该公司表示,只有不到5%的公寓拥有客户受到易受攻击技术的影响。发言人不会进一步量化这一数字。SmartRent表示,在研究人员披露前几周,它已于2月中旬安装了20,000多套。

就其本身而言,Zipato在收到研究人员披露的几周内修复了这些漏洞。

Zipato的首席执行官Sebastian Popovic告诉TechCrunch,每个智能中心现在都带有一个独特的私有SSH密钥和其他安全性改进。Zipato也已经停止使用ZipaMicro中心,转而使用其中一种新产品。

智能家居科技不太可能很快消失。研究公司IDC的数据估计,2019年将售出超过8.32亿个智能家居设备,正如各州和各国严厉打击互联网连接设备的安全性差一样。

这也可能会给黑客和安全研究人员带来更多关于智能家居技术的审查。

“我们希望证明这种技术存在风险,公寓楼甚至个人消费者都需要知道这些不一定比传统的门锁更安全,”达达曼说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。