智能家居是黑客下一个攻击对象?

物联网的支持者认为它有很多好处,比如节能、用高科技来预期你的想法,甚至还能减少道路拥堵,但它却有一些不可不防的风险,很多人目前还没有意识到这些风险的存在。以下为原文内容:

物联网的风险在于:一些无线连接的设备位于同一个地方,这对黑客具有不可抗拒的吸引力。黑客可以在空中传播恶意代码,就像飞机上的流感病毒一样。

在本周四发表的一份报告中,研究人员称他们发现了一种无线技术的缺陷,这种技术常常用于智能家居设备,比如灯、开关、锁、恒温器等等。

特拉维夫附近的魏茨曼 科学 院(Weizmann Institute of Science)和加拿大达尔豪斯大学(Dalhousie University)研究人员用飞利浦的Hue智能灯泡进行了实验,发现这个无线缺陷可以被黑客用来控制灯泡。

这听起来好像是个小问题。但你不妨想象一下,如果有成千上万个联网的设备靠得比较近,那会是什么情况——黑客创建的恶意软件只要感染了其中一个设备,就可能会像瘟疫一样传播开来。

难以抵御的攻击

黑客不必直接访问这些设备就可以感染它们:研究人员在距离一栋建筑物229英尺(约70米)的地方驾车驶过,就足以让这栋建筑物内的网络感染上了恶意软件。

就在两周之前,黑客发起了拒绝访问攻击,冲击了新罕布什尔公司Dyn的服务器,中断了它们提供的DNS服务。

安全专家说,他们认为黑客通过控制一系列联网设备,制造了一个僵尸网络,然后利用它发起了这次攻击。不过这些黑客并没有使用周四这份报告中提及的方法。中国一家无线摄像头制造商表示,其部分产品的密码太弱是黑客本次攻击成功的原因之一。

这已经不是黑客第一次利用物联网来开展攻击了,但本次攻击的规模之大,对那些没有意识到日常联网设备风险的人来说,也是一个警示。

“即使是最好的互联网防御技术也无法阻止这样的攻击,”德高望重的密码学家Adi Shamir说。他是这份报告的作者之一。

蠕虫感染的风险

这种新的风险和无线电协议ZigBee有关。ZigBee诞生于20世纪90年代,是一种广泛应用于家庭消费设备的无线标准。虽然按道理讲它应该是安全的,但其实不是。

研究人员发现,ZigBee可以用来创建计算机蠕虫,在联网设备之间传播恶意软件。

计算机蠕虫可以不断地从一个设备复制到另一个设备,近年来人们对它的关注有所减少,但是在商用互联网起步的早期,它就已经是一个威胁。在1988年,一个蠕虫估计感染了全部联网计算机的十分之一。

现在,联网设备的数量已经增加到了数以10亿计的级别,蠕虫感染风险也大大增加。

那么黑客可以利用这些被感染的设备来做些什么呢?可以用这些设备组成僵尸网络,来发动类似于针对Dyn公司的攻击。也可以把它们当作跳板来窃取信息,或者仅仅是用来发垃圾邮件。

他们还可以将LED灯设置为频闪模式,用来触发癫痫症的发作,或者纯粹就是让人感觉不舒服。这听起来好像有点牵强,但研究人员已经证实了这种可能性。

开展模拟攻击

飞利浦Hue智能灯泡的颜色和亮度可以通过计算机或智能手机进行调整。研究人员表示,你只要感染一个灯泡,就可以在几分钟内感染附近的大量灯泡。蠕虫可以把恶意软件传播到每个灯泡——即使这些灯泡不在同一个专用网络中。

在创建感染模型时,他们模拟了巴黎大约40平方英里区域内的灯光分布状况,发现那里只需要分布着1.5万个联网设备,恶意软件就可以感染整个地区。

研究人员说,他们已经把这件事通知了飞利浦。该公司要求研究人员在他们修复这个漏洞之后再公开论文。飞利浦在上个月发布的补丁中修复了这个漏洞,建议客户通过智能手机应用安装补丁。但是,这个问题的意义依然很重大。

“根绝我们的评估,这个问题对安全的影响比较小,因为这是一种专门硬件,软件也没有公开,而且理论上要开展这种攻击,需要这些飞利浦灯泡之间的距离非常近。”飞利浦发言人贝思·布伦纳(Beth Brenner)在一封电邮声明中说。

研究人员说,为了开展模拟攻击,他们需要克服两个独立的技术挑战。首先是发现了无线通信系统中的一个“重大错误”,可以把已经安装好的灯从现有网络中“拽出来”。

然后研究人员利用“侧信道”(side channel)攻击方式,盗窃了飞利浦用来验证新软件的密钥。

研究人员写道:“我们使用的都是很容易弄到的设备,花费了仅仅几百美元,就找到了这个密钥。这再次表明,即使一些大公司使用了标准的加密技术来保护拳头产品,它们要保障安全也非常不容易。”

作者:佚名

来源:51CTO

时间: 2024-10-27 03:36:02

智能家居是黑客下一个攻击对象?的相关文章

黑客下一个攻击对象

<纽约时报>撰文称,物联网的支持者认为它有很多好处,比如节能.用高科技来预期你的想法,甚至还能减少道路拥堵,但它却有一些不可不防的风险,很多人目前还没有意识到这些风险的存在. 物联网的风险在于:一些无线连接的设备位于同一个地方,这对黑客具有不可抗拒的吸引力.黑客可以在空中传播恶意代码,就像飞机上的流感病毒一样. 在上周发表的一份报告中,研究人员称他们发现了一种无线技术的缺陷,这种技术常常用于智能家居设备,比如灯.开关.锁.恒温器,等等. 特拉维夫附近的魏茨曼科学院和加拿大达尔豪斯大学研究人员用

热门视频网站成为黑客挂马攻击对象

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 据瑞星"云安全"系统统计,上周瑞星共截获了135万个挂马网址,主要是一些1158.html">在线视频.娱乐八卦和女性网站.近期,随着<变形金刚2>的热映与迈克尔·杰克逊病逝等事件成为广大网民关注的热点,大量网民访问视频网站收看预告片或追忆明星生前的经典影音,所以这些视频网站成为黑客挂马攻击对象

别让虚拟化成为“永恒之蓝”的下一个攻击目标

2017年5月12日起,"永恒之蓝"勒索蠕虫利用微软系统漏洞横扫全球,目标直指没有及时更新系统补丁的Windows系统,被感染用户必须缴纳赎金才能恢复被不法分子加密的文档被加密.作为云安全的重要基础设施,虚拟化系统有没有在这场全球大勒索中幸免遇难?如何避免成为"永恒之蓝"的下一个攻击目标? 虚拟化环境并没有被"永恒之蓝"遗忘 "永恒之蓝"主要针对没有及时更新系统补丁的Windows XP.Vista.Windows7/8以及W

热门视频网站成黑客挂马攻击对象

据瑞星"云安全"系统统计,上周瑞星共截获了135万个挂马网址,主要是一些在线视频.娱乐八卦和女性网站.近期,随着<变形金刚2>的热映与迈克尔·杰克逊病逝等事件成为广大网民关注的热点,大量网民访问视频网站收看预告片或追忆明星生前的经典影音,所以这些视频网站成为黑客挂马攻击对象. 在这些挂马网站中截获的一个病毒值得注意,它是Trojan.Win32.FakeAV.ri(杀软伪造者木马),该病毒会修改系统文件,伪造成一个国外杀毒软件,欺骗用户电脑中有病毒,清除则需付费,使得部分用

智能家居 登陆 注册-求问!怎么在整个智能家居系统上加上一个登陆注册功能,

问题描述 求问!怎么在整个智能家居系统上加上一个登陆注册功能, 用java已经实现的智能家居系统,用安卓手机对空调窗帘等进行控制,实现登陆注册功能来记录每个不同的用户对电器的操作,具体怎么实现,要用什么技术来实现? 解决方案 服务器上要有数据库,注册就是输入用户名密码,服务器获得后插入数据库.你的客户端将输入的用户名密码提交到服务器,然后完成登录验证. 例子:http://www.jb51.net/article/75722.htm 解决方案二: 写一个类,在里面写方法就好了 注册和登录的事件

GeekPwn敲响安全警钟 智能家居成黑客攻破重点

在即将到来的黑客奥运会GeekPwn 2015嘉年华上,来自全球的顶尖白帽黑客选手将展示精彩的破解秀,智能门锁.摄像头.路由器等居家产品都可能成为被攻破的对象.从GeekPwn 2015的项目名单上看,智能家居项目占比近一半,或成为此次GeekPwn嘉年华的攻破热门. 各种智能生活的梦魇都可能被淋漓尽致地展现在GeekPwn嘉年华的舞台:当你已进入梦乡,却被伴随着音乐节奏变得忽明忽暗的床头灯惊醒;你在家中自由活动,却不知不觉将生活通过摄像头直播给黑客;当你回到无人的家,却发现安装着智能门锁的房门

黑客的下一个攻击目标:IPv6

你可以按照自己的意愿推迟IPv6策略的部署,但是你必须应当马上着手解决IPv6存在的安全隐患.如果你计划将IPv6与IPv4进行双堆栈配置,那么在安全方面你不能掉以轻心.如果你考虑全面转向IPv6,这也并不代表你就可以高枕无忧. 最大的潜在安全威胁在于企业网络上已经接入了大量具备IPv6功能的设备,包括所有运行Windows Vista .Windows 7.Mac OS/X.Linux和BSD设备. 与以前IPv4需要DHCP不同,IPv6不需要人工配置.思科杰出系统工程师,<IPv6安全>

匿名黑客称苹果iCloud将成下一个攻击目标

7月5日消息,据国际商业时报网站报道,侵入贝宝.万事达和Visa信用卡网站的匿名http://www.aliyun.com/zixun/aggregation/34795.html">黑客组织现已侵入了苹果的服务器,该匿名黑客组织最近实施了一系列有重大影响的入侵,该组织还支持维基解密网站. 匿名黑客组织承认,它使用Twitter的在线技术调查攻入了苹果的服务器.黑客在微博上声称:"苹果云计算服务可能成为新的攻击目标,但不用担心我们忙于其他地方." 黑客组织用了27个用户

Pokemon Go玩家或成为下一个网络攻击对象 赛门铁克揭示潜在安全威胁

Pokemon Go (口袋妖怪 Go)在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量.Pokemon Go的火爆现象同时也吸引了网络罪犯的注意. 赛门铁克安全团队已经发现了针对该游戏的社交媒体骗局和木马版本.不仅如此,由于官方版本要求用户开放相关权限,隐私和数据安全问题也受到了公众的关注. 在奋力抓捕口袋妖怪的同时,赛门铁克安全团队希望提示玩家注意以下网络威胁,保护设备和自身安全. 免费 PokeCoin 骗局 在Pokemon