位于Seattle的安保公司IOActive昨天(2月18号)宣布了这项研究结果。IOActive的声明中指出,WeMo设备的软件漏洞可能让攻击者远程控制设备,安装恶意固件,监测目标设备的运行状况甚至进入目标设备的计算机网络。
WeMo设备包括灯开关,移动检测器和安保相机。在CES2014上,Belkin透露到,智能炊具,智能灯泡甚至一个可以智能化低电压设备的DIY包很快就要加入它的生产线了。很容易想象到,在这些普通的设备里,恶意的黑客有可乘之机。
这种脆弱性存在于WeMo的固件升级过程中,这个过程完全依赖于连接到WeMo设备的智能手机应用。值得赞扬的是,Belkin的每次新的固件更新都加密了,但是,每次新更新的秘钥已经在系统现存的固件内了。实际上,这就让黑客在固件发布前就能够瘫痪它了。
Belkin 也对自己的安全插座层(SSL)网络连接安保协议比较松懈。当WeMo设备连接到Belkin的中心服务器时,Belkin没有马上承认它的SSL凭证。这就使得任何有SSL凭证(一种很容易得到的安保协议)的人可以对不会怀疑的用户进行虚假固件升级。
你用WeMo设备的时候,你可能不想拔掉它们,然后在接下来的时间里像一个森林隐士一样活着。Belkin很快就回应了IOActive的新发现,并且在昨天晚些时候宣布它已经用最新的固件升级修复了这个漏洞。
首先得确保你的设备处于被保护状态,然后打开iOS的App Store或者Google Play 商店,确保你的WeMo应用是最新版本的,并且这款应用可以把最新的固件传输到设备里。
尽管WeMo的产品线现在是安全的,但却透露出了智能家居技术最隐秘的秘密:总的来说,智能家居安保协议很搞笑。ZigBee和Z-Wave是两项最普遍的智能家居协议,几个月前就被黑过,但很少的公司有兴趣修复这些个问题。
如果没有了安保智能家居协议,制造商将依靠传统的Wi-Fi架构。标准的计算机程序和移动应用的安全程度还得看程序员是怎么设计的。没有什么程序是不可能被黑的-这正如WeMo的情况一样。
大部分不安全的应用可以透露用户的邮箱地址,甚至信用卡号。甚至一款不安全的智能家居设备能让房子着火!当然,这是一种比较极端的例子。希望在接下来的几年里,智能家居的安保问题能够得到非常有效的解决。
下一篇:基于融合的方法来处理网络攻击