测试显示智能家居厂商并不注重产品安全性

2015-04-10 18:53:47来源: 互联网
    随着物联网技术和相关设备逐步进入大众的视线当中,其存在的安全隐患也成为了外界热议的话题。最近,应用安全公司Veracode的研究者就对6款智能家居设备进行了安全测试,结果发现其中5款都存在严重安全问题。

Veracode所测试的这6款设备包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多种家庭自动化设备和传感器的帮助下——包括门锁、开关和电源插座——所有这些设备都可通过互联网实现远程控制和监控功能,它们中的大多数还可连接至基于云端的服务,用户则可通过网页端口或智能手机应用与之进行交互。

Veracode并没有试图寻找这些设备固件当中的漏洞,而是对它们的工作方式及使用的通讯协议进行了分析。安全专家们查看了这些设备的前端(用户和云服务之间)和后端(设备和云服务之间)连接,在前端连接方面,他们发现只有SmartThings Hub执行了强密码,而Ubi甚至没有对用户连接进行任何加密,这无疑给中间人攻击创造了可能。

而在后端连接这一块,这些设备的表现更加糟糕。Ubi和MyQ Garage没有执行加密,没有提供对抗中间人攻击的必要保护,对于重放攻击也毫无防御力。此外,Ubi也没有对敏感数据进行适当的保护。

除了SmartThings Hub之外,这些设备都不具备中间人攻击保护,因为它们要么完全没有使用安全传输层协议(TLS)加密,或是没有使用适当的证书验证执行TLS加密。

这种情况表明,厂商在产品设计阶段都是假定它们未来所运行的网络环境都是安全的,但事实显然并非如此。从过去几年里的安全研究中我们可以看出,如果说有什么东西的安全性比物联网设备还要差,那就是消费类路由器了。安全专家经常会在路由器当中发现严重的安全漏洞,它们中的大多数可让黑客执行中间人攻击,也导致了数以百万计的路由器被用于大规模的攻击。

物联网厂商对于家庭网络安全的错误信任也反映在了旗下产品暴露于这些网络中的调试接口和其他服务。

Veracode的研究者发现,Wink Hub会在80端口运行未认证的HTTP服务,Wink Relay会运行可通过网络访问的ADB服务,Ubi运行ADB和VNC(远程桌面)服务时都不需要密码,SmartThings Hub所运行的Telnet服务器受到了密码保护,MyQ Garage所运行的HTTPS服务会暴露基本连接信息。

在Wink Relay和Ubi这两款设备身上,暴露的ADB接口可向攻击者提供root权限,让他们得以在设备上执行任意代码和命令。

在云端服务方面,Veracode的研究者虽然没有直接对这些服务的安全性进行分析,但他们还是考虑到了几种可能出现的情况,比如如果攻击者获取到了用户账户、截获了与之接近的连接、或是彻底冲破云服务会发生什么。他们得出的结论是,这些情况会导致严重程度不同的安全问题,轻则暴露敏感信息,重则致使设备彻底被控制。

厂商并没有清楚地向用户解释这些设备对于云服务的依赖,但他们的确应该如此——因为并不是每一位用户都意识到,他们并不是直接和设备进行交互的。当使用配套的移动应用时,控制信号实际上需要通过由第三方运营的服务才会被传递到设备当中。这同时也意味着,需要获得安全措施保护的不仅仅是硬件设备本身,还包括网络服务。

Veracode根据这些分析结果得出的结论是,这些测试设备的设计师“没有足够重视安全和隐私,从而把消费者置于网络攻击或物理入侵的风险当中”。

举个例子,Ubi设备所收集的信息可让不法之徒了解到你家里是否有人(根据环境噪音或灯光)。此外,通过利用Ubi或Wink Relay所含的漏洞,攻击者可以使用设备的麦克风进行窃听。

但所幸的是,不同于路由器这种设备,许多物联网设备都具备自动升级的能力。因此当发现问题时,厂商可以轻松地推送修复升级。

关键字:智能家居

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/2015/0410/article_8310.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。
论坛活动 E手掌握
微信扫一扫加关注
论坛活动 E手掌握
芯片资讯 锐利解读
微信扫一扫加关注
芯片资讯 锐利解读
推荐阅读
全部
智能家居

小广播

独家专题更多

富士通铁电随机存储器FRAM主题展馆
富士通铁电随机存储器FRAM主题展馆
馆内包含了 纵览FRAM、独立FRAM存储器专区、FRAM内置LSI专区三大部分内容。 
走,跟Molex一起去看《中国电子消费品趋势》!
走,跟Molex一起去看《中国电子消费品趋势》!
 
带你走进LED王国——Microchip LED应用专题
带你走进LED王国——Microchip LED应用专题
 

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2016 EEWORLD.com.cn, Inc. All rights reserved