物联网设备已沦陷,咖啡机也不能例外
随着物联网设备的广泛使用,被黑客攻击的范围也在不断扩大,我们周边的智能设备是网络犯罪者们首要选择的攻击目标。那么咖啡机又怎能例外呢?联网的咖啡机会成为黑客入侵网络的入口,甚至可能会访问你的隐私信息。
手机上一个小小的app就可以控制咖啡机,远程在手机app上轻点几下就可喝到一杯热气腾腾的咖啡。然而app上存在一个漏洞,当应用程序和咖啡机交换信息时就给攻击者打开了一扇攻击大门。攻击者会利用这个漏洞窃取用户WiFi密码和嗅探无线网络中传输的数据。
卡巴斯基实验室的安全专家警告使用联网咖啡机时可能会存在安全隐患,同时还发现其他几个联网设备也会给用户带来安全隐患。它们分别是:
1. 视频流媒体的USB电子狗(Google Chromecast)
2. 智能手机控制的IP照相机
3. 智能手机控制的咖啡机
4. 智能手机控制的家庭安全系统
漏洞虽不少,但很难被利用
安全专家发现了数个不同危险程度的安全漏洞,说实话有些漏洞很难利用,因为满足入侵的客观条件很难实现。
当联网咖啡机打开时,它就自动打开了一个未加密的热点,可窃听UPNP流量。在客户端,智能手机上安装的app是由咖啡机厂商提供的,它会连接到一个热点并发送UDP请求广播,以搜索UPNP设备。咖啡机会与app建立一个通信,以交换诸如SSID、无线密码等数据,然而不幸的是,这些交换的数据全是明文的。
为了入侵咖啡机,攻击者需要知道用户安装app的具体时间,以及物理接触物联网设备的具体时间,从而截取用户的密码。事实上,这种攻击场景并不易实现。
厂商的反应
卡巴斯基实验室已经将这一问题报告给了咖啡机厂商,对方给出的回应是:
用户体验和安全对我们来说都非常重要,我们也一直在这两者之间寻找平衡点。你们所提到的漏洞是在安装过程中发生的,属于低危。如果要获得访问权限,攻击者需要在目标家庭网络的附近,并且时间还必须保证在应用安装的过程中,也就是说攻击只能在短短的几分钟和一定的距离内才能完成。
我们不相信这个漏洞会对用户体验带来很大的影响。尽管我们还没有明确改变安装进程的计划,但如果安全风险变得非常严峻的情况下我们会毫不犹豫的做出改变。未来有什么改变我们会及时通知。
* 参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- vue接入腾讯地图(二)【标注&定位实战】
- 图像处理笔记(4)----OpenCV对象追踪
- MySQL 数据恢复
- 【从0到1学习边缘容器系列2】之 边缘应用管理
- 【从0到1学习边缘容器系列-3】应用容灾之边缘自治
- Hacking with iOS: SwiftUI Edition - 里程碑:项目 13 - 15
- HDU 1896 优先队列用法
- 蓝桥杯省内模拟赛C++
- C++ STL (标准模板库) 详细内容讲解
- 蓝桥杯 试题 基础练习 分解质因数
- 蓝桥杯 试题 基础练习 FJ的字符串
- 蓝桥杯 试题 基础练习 龟兔赛跑预测
- 问题 1432: [蓝桥杯][2013年第四届真题]剪格子
- 问题 1426: [蓝桥杯][历届试题]九宫重排
- mock测试及jacoco覆盖率