日常生活中越來越多的的設備「需要」接入互聯網,你的WiFi咖啡機被黑導致信用卡失竊,不再是玩笑!
2019世界移動通信大會(MWC)正在巴塞隆納如火如荼進行當中,作為全球通信領域最具規模和影響力的展會,MWC一直都是各通信廠商激烈角逐的舞台:華為摺疊屏、OPPO十倍混合光學變焦、5G無人船……目不暇接的顛覆性科技創新吸睛無數,全方位釋義5G時代「智聯萬物」的新價值和新機會。
5G正加速向我們走來,安全性的擔憂也一直是繞不開的話題。在一個不那麼熱鬧的MWC展台,著名安全服務提供商McAfee也帶著憋了一年大招閃亮登場。McAfee的高級威脅研究團隊公布了物聯網設備上的2個新漏洞,分別是知名智能鎖BoxLock和美國咖啡機第一品牌Mr. Coffee的新漏洞,可以讓網路犯罪分子有機可乘,使得消費者的個人數據和家庭網路被非法訪問。McAfee提醒消費者在接入以上兩個設備之前,必須知曉其可能帶來的安全風險。
1、BoxLock安全漏洞
BoxLock是一種保護快遞交貨安全的智能掛鎖,由硬化鋼鎖扣、掃描按鈕、防水防曬外殼、電池、USB充電口、掃描器5部分組成,通過掃描有效的條碼開鎖。
它存在一個漏洞,讓黑客可以遠程解鎖。研究人員成功使用藍牙低功耗(BLE)內置條碼掃描儀打開BoxLock,這是一種在物聯網和智能設備中普遍使用的無線技術。研究人員表示,用來發送藍牙GATT命令的手機從未連接過BoxLock,也沒有安裝BoxLock應用程序,但它能解鎖BoxLock,這不得不引起製造商的重視。
漏洞披露對任何公司都是具有挑戰性的問題。研究人員十分肯定BoxLock做法,收到消息後,BoxLock迅速回應並認可研究團隊的發現,著手修復漏洞。
2、Mr. Coffee安全漏洞
在MWC上公布的第2個漏洞是Mr. Coffee的安全漏洞:Mr. Coffee智能咖啡機為黑客提供了進入家庭網路的後門。Mr. Coffee智能咖啡機是指Mr. Coffee和貝爾金聯手推出一款WiFi咖啡機,用戶可以在手機或平板電腦上使用貝爾金WeMo應用程序控制該款咖啡機。
研究人員表示,黑客可以入侵使用WeMo平台的Mr. Coffee咖啡機,更改沖泡計劃,甚至能夠利用韌體中的漏洞寫入新的指令,據稱這是代碼問題引發的漏洞,由缺乏輸入過濾和驗證的代碼策略導致。
研究人員表示,該漏洞讓入侵者可以上傳任何模板,並讓能順利通過所有WeMo驗證步驟。研究人員成功添加了一個名為「hack」的新模板,並在模板中添加了一個代碼塊來下載和執行shell腳本。
現在,只需坐下來等待咖啡機(在我指定的時間延遲)連接到我的電腦,下載我的shell腳本並運行它。一切運行過程都符合預期。此漏洞要求入侵者訪問與咖啡機所在的同一網路。根據用戶密碼的複雜程度以及當今的計算能力,破解WiFi是一件輕而易舉的事。
Mr. Coffee詳細破解過程如下:
結語
這兩個漏洞都表明,漏洞利用有時候比想像的簡單得多,並不用花費多大精力,對黑客來說更是小菜一碟的事。即使聯網設備不包含敏感數據且僅限於本地網路,也不能避免惡意黑客的攻擊。聯網智能設備是5G時代的最易受攻擊的目標,因為從安全的角度來看,這些設備往往被忽視,並且可以為您的家庭或企業網路提供簡單且不受監控的中介點。
根據傻蛋聯網設備搜索系統,全球聯網設備的分布如下圖(顏色越深,表示聯網設備分布越密集),中國、美國擁有的聯網設備數均超過了全球的10%。
McAfee研究員兼首席科學家Raj Samani在MWC上表示:「網路罪犯是無處不在並且無孔不入的,只要我們繼續將設備連接到互聯網,黑客就會繼續尋找利用漏洞的方法。」
因此,這要求物聯網設備供應商與專業安全研究人員共同致力於保障產品的安全性,以降低消費者使用時的安全風險。
對於使用連接設備的消費者和製造他們的企業,漏洞披露可能會令人恐慌,然而,這個過程是創造更安全未來的必經之路。網路安全研究人員,監管部門、企業、消費者共同努力揭露並消除這些漏洞,方能使我們領先於犯罪。
及時掌握網路安全態勢 盡在傻蛋聯網設備搜索系統 www.oshadan.com
部分文字、圖片來自網路,如涉及侵權,請及時與我們聯繫,我們會在第一時間刪除或處理侵權內容。電話:400-869-9193 負責人:張明
香港九龍灣馬來街興發大廈15樓D室