返回新闻列表

防范物联网设备威胁:卡巴斯基实验室发现智能家庭设备存在风险

        随机选取一些最新的物联网(IoT)设备,卡巴斯基实验室的研究人员都从中发现其对联网家庭存在严重的威胁。其中包括一台能够泄露用户Wi-Fi密码的咖啡壶、一台可被恶意的第三方控制的婴儿视频监控器以及利用磁体就能骗过智能家居安全系统。

       2014年,卡巴斯基实验室的安全专家David Jacoby环视了一下自己家的客厅,决定对家里的设备进行一项调查,判断这些设备是否容易遭受网络攻击的影响。他发现几乎所有的设备均包含漏洞。按照这一思路,2015年,卡巴斯基实验室的一个反恶意软件专家团队重复了上述实验,但这次的实验有稍许不同。上次David的研究主要集中在联网服务器、路由器和智能电视上,而我们这次所做的研究侧重于智能家居市场上的各种联网设备。

       实验所选择的设备如下:一个可观看视频流的USB适配器、一个使用智能手机控制的IP摄像头、一个利用智能手机控制的咖啡壶和一套智能手机控制的家居安全系统。调查发现,几乎所有的设备都包含安全漏洞。

       实验中所使用的婴儿监控摄像头可以被使用同一网络的黑客所连接,从而让黑客可以观看摄像头所拍摄的视频,并且可以在摄像头上启用音频文件。来自同一厂商的其它摄像头则允许黑客收集用户密码。实验还显示,位于同一网络上的黑客还可以获取摄像头的root密码,恶意修改摄像头的固件。

       对于通过手机应用控制的咖啡壶,攻击者甚至都无需同受害者处于同一个网络就可以实施攻击。实验过程中,咖啡壶会发送足够多的未加密数据,攻击者可以很容易通过这些数据获取用户家庭的Wi-Fi网络密码。

       在测试基于智能手机控制的家居安全系统时,卡巴斯基实验室的研究人员发现该系统的软件只有一些不严重的问题,整体上比较安全,能够抵挡网络攻击。但是,我们却在该系统上的传感器上发现了安全漏洞。

       系统中所用的接触传感器可以在门或窗户被打开时,触发警报。其工作原理为检测门或窗户上所安装的一块磁体所释放的磁场。当门或窗户打开时,磁场消失,导致传感器向系统发送警报信息。但是,如果磁场仍然存在,警报就不会启动。

       在对家居安全系统进行实验时,卡巴斯基实验室的专家使用一块普通的磁铁替换了门窗上的磁场。这意味着,及时开启和关闭门窗,也不会启动警报。这一漏洞可以通过软件更新得到解决,真正的问题是家居系统安全本身的设计存在安全隐患。更令人担忧的是,基于磁场的传感器设备是一种很常见的传感器类型,市场上很多家居安全系统都使用这类传感器。

       值得欣慰的是,我们的实验显示,大多数供应商在设计和开发物联网(IoT)设备时,考虑了网络安全问题。但是,几乎所有的联网和基于应用控制的设备都包含至少一个安全问题。网络罪犯可能一次可利用多个安全漏洞,所以设备供应商解决这些安全问题非常必要,即使有些问题并不是很严重。这些安全漏洞应该在产品上市之前就得到解决,因为如果产品已经上市销售给成千上万的用户,修复起来要困难得多,”卡巴斯基实验室安全研究员Victor Alyushin说。

       为了保护用户以及家人安全,避免其遭受智能家居IoT设备所带来的风险,卡巴斯基实验室专家建议用户采取以下安全措施:

       在购买IoT设备之前,在互联网上搜索一下相关设备是否存在安全漏洞。物联网(IoT)是一个非常热门的话题,有很多研究人员从事这类产品的安全研究,从婴儿监控器到应用控制的步枪等,范围非常广泛。所以,很可能你想要购买的设备已经经过安全研究人员的检测,你可以确认这些设备中存在的问题是否已经被修复。

       购买市场上最新的产品并非总是好事。新产品中除了包含一些常见的问题外,可能还包含未被安全研究人员发现的安全问题。最佳建议是购买已经进行过多次软件更新的产品。

       在选择使用何种类型的智能产品时,需要考虑相关的安全风险。如果你的家里有很多值钱的东西,最好选择一款专业的警报系统,替换或补充现有的使用手机应用控制的家居警报系统;或者消除现有系统存在的潜在漏洞,避免影响设备安全运转。在选择一款会收集你的个人信息或家人信息的设备如婴儿监控器时,最好选择一款市面上功能最简单的射频模式摄像头,这种设备只能够发送音频信号,无法连接互联网。如果不想选择这种设备,则可以按照我们第一个建议进行精挑细选。

       要阅读完整版《防范物联网设备威胁:如何使用智能设备,远离黑客攻击》,请访问Securelist.com.