当你的房子着火了似乎是并不是一个什么好的消息。一个互联网连接的门锁,可以从你的智能手机程序管理起来更便捷,但是当一个恶意软件可以触发火宅报警,并且在你不经意的情况下打开你家的大门,那么所谓的智能似乎变得不那么安全了呢?那么你的“智能家居”似乎也并没有那么智能了呢?

三星智能家居

安全研究界多年来一直警告大家,所谓的物联网,特别是联网的家居,也就是现在所谓的智能家居,在发现大批新的破解漏洞进入到日常物品。现在,密歇根大学和微软的一组研究人员已经把他们称之为“智能家庭”平台的第一个深入安全分析,允许任何人控制自己的家用电器从灯泡到锁的电脑或智能手机。他们发现他们可以把令人不安的伎俩在互联网上,从触发烟雾探测器将在数字锁提供了无声的访问您的家庭种植“借壳”的 PIN 码,所有这一切,他们计划在本月晚些时候对安全和隐私的 IEEE 研讨会。

“如果这些应用程序的控制像窗帘一样可有可无的东西,用户就需要考虑是否要放弃的安全关键设备的控制,“Earlence 费尔南德斯,密歇根大学的研究人员之一说。 “最糟糕的情况是,攻击者可以在他想要的,完全作废锁的想法随时进入你的家。”

解锁你的门

微软和密歇根的研究人员集中在检测三星 SmartThings 平台,家庭网络系统,在成千上万的家庭,根据谷歌的统计下载它的 Android 应用程序的单独。他们的发现让他们发展四攻击 SmartThings 系统,利用设计缺陷,包括严重的控制限制应用程序的访问连接设备的特点,以及认证系统让黑客冒充合法用户登录到 SmartThings 云平台。

在最严重的攻击概念证明,研究人员发现他们可以利用 SmartThings 的缺陷实现 OAuth 认证协议称为。研究人员分析了 Android 应用程序设计来控制 SmartThings 的服务,并发现某些代码的意思是秘密,让他们利用在 SmartThings Web 服务器称为一个“开放重定向漏洞。”(研究人员拒绝透露,Android 应用程序来避免复制帮助真正的黑客的攻击。)

恶意链接甚至可以广播广泛 SmartThings 受害者厂秘密后门代码在任何 SmartThings 主人锁谁点击了它,Atul Prakash 说,密歇根大学的计算机科学教授从事研究工作。“就让他们去点击这些链接在帮助论坛或邮件做大量用户的攻击,这绝对是可能的,”说,该。“一旦你有,谁点击和迹象,我们就需要控制自己的智能应用程序的凭据。”

不好的应用程序

研究人员承认,他们的四个示范攻击其他三需要更多的参与水平欺骗:攻击者必须说服他们的受害者下载恶意软件伪装成三星 SmartThing 的应用程序专用的应用商店,似乎只是监控各种设备的电池充电在 SmartThings 的家庭网络。挑战就不只是让别人下载的应用程序,但在走私邪恶的程序到 SmartThings 应用商店摆在首位,一步研究人员实际上并没有尝试为法律后果或妥协的真正的人民的家园的恐惧。

由于他们所描述的应用程序的权限,SmartThings 的系统设计缺陷但这种电池监控应用程序实际上会比预期更大的 SmartThings 访问这些设备。它安装,研究人员已经证明,攻击者可以禁用“度假模式”,一个设置定期转灯,让人似乎在国内掀起的烟雾探测器,或偷针从受害者的门锁,并通过短信向攻击者发送。

这是一个特权问题

研究人员说,然而,他们的攻击仍将今天的工作以及他们第一次接触 SmartThings 不安卓应用他们的逆向工程开发 SmartThings 认证缺陷和特权超越缺陷已被固定。他们认为,它将为三星的 SmartThings 应用评论者检测恶意软件他们创建的排序是艰难的。电池的监测应用程序的恶意命令实际上没有一明显的代码,他们说,也可以由控制应用程序服务器时,它的过去,代码审查和对受害者的设备上运行。

“密码设置可以很好地将恶意的东西,”费尔南德斯说。“但你要明确寻找。”作为证据,SmartThings 业主会安装他们的恶意软件,他们进行了 22 人使用 SmartThings 设备的调查发现,百分之 77 的人会在电池监控软件感兴趣。

研究人员认为,在 SmartThings 平台更为根本的问题是“Android”,就像智能手机的应用程序要求用户的权限访问他或她的位置,一个 SmartThings 应用意味着检查锁的电池不能偷走它的引脚或引起火灾报警,他们认为。事实上,他们分析了 499 个 SmartThings 和发现,超过一半的人至少有某种程度的特权,他们认为过于宽泛,这 68 的实际使用能力,他们不应该拥有。“只需要一个好的应用程序,这就是它,”说,该。“他们真的需要解决这个 Android 的问题。”

消费者更广泛的教训很简单,说密歇根的 Prakash:接近一个谨慎的智能家居的整体概念。“这些软件平台是相对较新的。使用它们作为一种业余爱好是一回事,但他们还没有在敏感的任务,”他说。“作为一个部署他们的房主的思维,你应该考虑最坏的情况下,一个远程的黑客和你一样的能力,看看这些风险是可以接受的。”

翻译:Fanly

题图来自:Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms

0个人收藏 收藏

评论交流

泪雪默认头像 请「登录」后参与评论
  1. 加载中..

相关推荐

  • Google Home Mini speaker

    走近科技生活方式,物联网智能家居的未来

    到目前为止,一个完全支持物联网的智能家居更像是一个遥不可及的梦想,而不是现实。直到今天,物联网技术集成在很大程度上失败了,想要达到较为理想的智能家庭令人还处于尴尬的境地。而子凡作为科技生活方式的爱好者,也有一些自己的一些话来给大家一起谈谈。
  • 电力物联网 Power Internet of Things

    什么是电力物联网

    电力物联网是物联网在智能电网中的应用,是信息通信技术发展到一定阶段的结果,其将有效整合通信基础设施资源和电力系统基础设施资源,提高电力系统信息化水平,改善电力系统现有基础设施利用效率,为电网发、输、变、配、用电等环节提供重要技术支撑。
  • Matter 连接标准联盟 Connectivity Standards Alliance

    三星开始验证兼容Matter智能家居设备

    既然 Matter 智能家居标准终于即将推出,三星正在尽其所能帮助设备制造商做好准备。该公司的 SmartThings 部门已经启动了一项早期访问计划,该计划将帮助一些智能家居公司测试他们的第一个 Matter-friendly 产品。
  • IOT sensor 物联网传感器

    物联网传感器有哪些

    传感器分为压力敏和力敏传感器、位置传感器、液面传感器、能耗传感器、 速度传感器、加速度传感器、热敏传感器、振动传感器、湿敏传感器、磁敏传感器、气敏传感器、生物传感器、 数字传感器、开关传感器、集成传感器 、陶瓷传感器、无线温度感应器等等。
  • IOT sensor 物联网

    传感器在物联网中有哪些应用领域

    传感器在物联网中可以应用在设备检测、环境检测、物流检测、安保检测、健康检测、智能家电、零售行业、卫生保健、农业、智慧城市等等领域。
  • IOT sensor 物联网传感器

    传感器在物联网中起什么作用

    传感器是各种物理物体连接互联网的媒介,物联网平台可以使用多种传感器运行,并提供各种信息和数据,因特网与传感器的互联,使世界实现了数字化、“智能化”,通过物联网传感器收集并执行大量数据,物联网让个人、企业和工业智能地运作。