黑客大会引发的物联网安全风险

发布者:SerendipityDawn最新更新时间:2014-09-02 来源: 国际电子商情 手机看文章 扫描二维码
随时随地手机看文章

    研究人员在不久前的Black Hat USA大会上,展示目前市场热卖的智能恒温设备如何会受到黑客入侵威胁。消费者逐渐被物联网(IoT)包围,日常生活中的嵌入式设备、家电都具备连网功能,而研究人员也证实,这种要求便利的连结性为设备同时也会遭受安全风险,为使用者隐私带来负面效应。
  在8月初于美国拉斯韦加斯举行的2014年度Black Hat大会上,来自中央佛罗里达大学的研究人员Grant Hernandez、Yier Jin,以及独立研究人员Daniel Buentello,对市场上热卖的物联网概念设备─Nest LearningThermostat智能恒温器重炮轰击;三位研究人员证实,如果攻击者能取得对该种智能恒温器的实体接取机会,该设备就非常容易受到安全威胁。

  研究人员们实际示范,攻击者在不到15秒的时间内就能把Nest恒温器从底座上移除,并透过micro USB接口的缆线植入后门恶意软件,而且恒温器主人完全不会发现有任何改变;这种恶意软件能让Nest被用来当做窥探使用者的工具,或是透过网络攻击其他 设备,甚至窃取无线网络凭证等等。

  这种安全威胁对目前以及未来的Nest恒温器使用者来说有何意义?就如同我们看到的 DropCam网络摄影机黑客入侵案例,攻击者需要对设备有实体接触,这表示歹徒得闯入你家,恐怕是远比恒温器被植入恶意软件更严重的威胁;不过研究人员 设想了许多情境,表示Nest 恒温器可能被有心人士购买、植入恶意软件、再退货给商店,或者是被植入过恶意软件的也可能透过在线商店被卖给特定的顾客。

  而最大的问题是,如果设备被黑客入侵了,使用者是完全不会知道;防病毒软件也无法在该类设备中执行并搜寻恶意代码;基本上,若要在不转存内存或分析设备硬件的情况下察知设备是否被黑客入侵,唯一方法就是监控网络数据流量,或是观察是否有异常情况出现──也就是在大多数家庭网络中不太可能出现的情况。

  不过研究人员还是称赞Nest恒温器是一款设计精良的产品,到目前为止,这款设备的安全威胁仍仅限于透过USB缆线实体入侵;研究人员还在忙着寻找Nest 网络客户端、服务,以及可支持远程利用的Nest Weave通信协议是否有漏洞存在。透过存取设备上的档案,以及藉由硬件后门取得与执行程序互动的能力,恐怕黑客找到远程攻击方法只是时间问题。

  除了被当作攻击其他家用无线网络上连网设备的“跳板”,Nest智能恒温器还可能带来其他安全威胁;研究人员表示,Nest Weave通信协议也可能是一个脆弱的切入点。Weave是一个以802.15.4标准为基础的通信协议,与Zigbee与WirelessHART类 似,能让Nest恒温器与其他Nest设备通信,如Nest Protect烟雾/二氧化碳警报器。

  如何能防止黑客攻击同样 具备以802.15.4通信协议为基础之接口的设备,例如智能电表、遥控门锁等等?这也是研究人员正在努力调查的部分。在大会发表专题演说时,上述研究人 员们也询问听众们是否会继续使用Nest设备;其中一位研究人员Buentello表示:尽管我们做了那么多研究发现它们可能有多么危险,我还是没放弃 它们、我家装了两个。

  研究人员们总结表示,今日我们对于可接受之嵌入式设备所采取的行动与决定,将替未来三十年的产品设立标准。

引用地址:黑客大会引发的物联网安全风险

上一篇:北京地铁明年有望用上摄像式毫米波检测仪
下一篇:全球芯片发展迅速 中国厂商走出去需努力

小广播
添点儿料...
无论热点新闻、行业分析、技术干货……
最新安防电子文章

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

词云: 1 2 3 4 5 6 7 8 9 10

北京市海淀区中关村大街18号B座15层1530室 电话:(010)82350740 邮编:100190

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2024 EEWORLD.com.cn, Inc. All rights reserved