智能电量表和电气设施都存在安全隐患

智能电表中严重的安全漏洞将会继续让用户和电力基础设施暴露于恶意网络攻击的安全风险之中。但更加可怕的是,有些安全专家认为黑客甚至可以直接让这些智能电表爆炸。

智能电表可以让用户更加清楚地了解自家的用电量,而供电局也可以通过智能电表来对用户的用电情况进行远程监控,并随时连接或切断供电。目前,全球范围已经有数百万台这样的设备部署于家庭用户和政府机构中,而专家预计,在接下来的几年时间里,智能电表将会完全取代传统电表。

智能电表中存在严重的安全漏洞

2010年至2012年之间,一些安全专家曾经详细描述过用户在使用智能电表的过程中可能会遇到的安全和隐私问题,而SecureState公司甚至还专门针对这种设备发布了一个开源的漏洞扫描框架。

Vaultra公司(一家专门为智能硬件提供安全解决方案的公司)的创始人Netanel Rubin也表示,智能电表的安全保护机制中依然存在严重的安全缺陷,这些安全问题将允许恶意攻击者对用户和电力设备进行攻击。

在德国汉堡举行的第33届混沌通信大会(33C3)上,Rubin向全世界演示了如何来对这些智能电表进行攻击。安全专家表示,由于各种保护措施的限制,物理攻击的可行性并不高,所以基于恶意软件的远程攻击将会成为攻击者的首选方法。

智能电表所使用的通信标准包括ZigBee和GSM,ZigBee主要负责用户家中的智能设备通信,而GSM负责处理智能电表和电力设施之间的通信。众所周知,ZigBee和GSM中存在很多严重的安全漏洞,而这些漏洞会使智能电表的安全状况更加糟糕。

虽然安全专家在好几年前就已经提醒过厂商了,但是在使用GSM网络的时候,很多电力设备现在依然没有引入任何形式的加密手段。有些设备确实使用了加密保护技术,但是他们使用的是A5算法,而这种算法同样存在漏洞。

安全研究专家表示,攻击者通过向外广播比合法基站更强的信号来让智能电表连接至他们所搭建的恶意GSM基站。智能电表连接至伪基站之后,将会尝试使用硬编码的用户凭证来完成身份验证,而攻击者此时就可以劫持通信数据并获取到目标设备的控制权。除此之外,由于很多电力设备部署的智能电表使用的都是相同的凭证,所以攻击者很有可能一次性入侵某一组织中的所有智能电表。

在这种针对消费者家庭网络的攻击场景中,黑客可以利用ZigBee来完成他们的目标。与其他设备(例如智能集线器)使用ZigBee的方法不同,智能电表在与同一网络中新加入的设备共享网络密钥之前,并不会对新加入设备的合法性进行验证。而攻击者此时就可以利用这个网络密钥来入侵目标网络,并接管该网络中的其他设备。

由于CPU和内存等资源对于智能电表来说是非常宝贵的,因此其中的ZigBee代码通常是最简版的,而这些代码往往没有经过安全审查,所以其中可能会存在内存崩溃漏洞,例如缓冲区溢出漏洞等等。此时,攻击者就可以直接利用这些漏洞来让目标设备崩溃,甚至还可以直接让智能电表爆炸。

安全风险

根据安全专家的描述,恶意攻击者入侵智能电表之后,可以获取到用户的用电量数据,并根据这一信息判断当前用户家中是否有人。除此之外,攻击者也可以通过修改数据来让用户的电费单收费暴涨。在此之前,波多黎各也发生过类似的事件,当时黑客通过进行智能电表欺诈活动给电力公司带来了数亿美元的损失。更令人担忧的是,由于智能电表可以直接与用户家中其他的智能设备进行网络通信,因此这些智能家居设备同样会处于安全风险之中,包括智能门锁在内。

除此之外,专家还认为攻击者可以通过修改智能电表中的电控软件来让设备发生爆炸。Rubin也指出,加拿大曾经发生过类似的事件,不过有关部门并没有公开事件的详细调查结果。

不过各位用户也不用过度担心,目前厂商和安全社区正在努力提升这些设备的安全。Vaultra公司也正准备发布一款针对智能电表的模糊测试工具,该工具预计将会在半个月后与大家见面。

原文发布时间为: 2017年1月16日

时间: 2024-10-24 18:53:24

智能电量表和电气设施都存在安全隐患的相关文章

IT厂商竞逐智能手表 产品定位狭窄埋发展隐患

智能手机无疑是当前最热门的且最有发展潜力的IT领域之一,据BI Intelligence发布的最新研究报告显示,到2018年,全球智能手表销量将达到9160万块.此外,华硕日前宣布将进入智能手表领域.智能手机厂商HTC更是宣称已解决智能手表旷日持久的电池续航问题. 从目前已上市的智能手表产品来看,大部分是充当智能手机的候补角色,并且只是在小众市场中流行.不难看出,名不副实的智能化使智能手表的用户体验大打折扣,狭窄的产品定位更是严重阻碍了智能手表的发展. IT厂商发力智能手表市场 实际上,从去年开

九安刘毅:智能硬件创业谁都有机会

摘要: 国内投入到智能硬件领域的厂商并不多,天津的九安算一家.从2011年做能与iPad连接的智能血压计,推出iHealth系列品牌的智能产品,已经3年,产品也扩充到5类十几款,是市场化做得不 国内投入到智能硬件领域的厂商并不多,天津的九安算一家.从2011年做能与iPad连接的智能血压计,推出iHealth系列品牌的智能产品,已经3年,产品也扩充到5类十几款,是市场化做得不错的智能设备厂商. 在MacWorld Asia上,我对九安医疗的董事长刘毅进行了近40分钟的专访.他谈了很多对现在智能硬

小心家装前被忽悠:智能家居背后的安全隐患

近日,未来学博士Ian Pearson发表了一篇关于10年后浴室智能化场景猜想的文章,结合人类现有的技术背景,Ian Pearson构想出一系列未来人类将在浴室内可体验到的智能化便利. 如通过智能镜子对身体健康进行评测,提供合理的妆扮建议;通过云数据同步,喷淋系统可根据室温及用户身体状况自动调节水温;以及包括可监测排泄物成分的智能马桶.可显示体重和体脂含量的地砖等具体场景. 当然除此之外,现阶段已实现的智能家居技术也不胜枚举:占据了家庭"至高点"客厅的智能电视及电视盒子,可观看4K视频

除了安全,360在智能硬件上的布局和逻辑都是什么

摘要: 一改往日高调,2014年周鸿祎和他的360开始变得沉稳务实起来.刚从美国充电返京,老周便提到一个词 IOT ,即 任何事情都要把它互联化,都要把它变成智能的设备,都要把它跟互联网连 一改往日高调,2014年周鸿祎和他的360开始变得沉稳务实起来.刚从美国"充电"返京,老周便提到一个词--IOT,即任何事情都要把它互联化,都要把它变成智能的设备,都要把它跟互联网连接起来.同时老周还坦言:"我曾经拉过很多不靠谱的小伙伴一块儿做手机,最后都以失败告终.在硬件上我们做了很多尝

进军14亿人的市场:国外智能手环都是怎么做的?

    Misfit Shine 12月3日Misfit宣布了4000万美元的C轮融资,在投资人当中赫然出现了小米和京东的身影.两者是战略投资,Misfit希望在生产和渠道方面获得他们的帮助.国外主流智能手环厂商基本都已经进入中国市场,但是通过战略投资来深耕中国市场的目前只有Misfit.其它几家都是怎么做的呢? Jawbone:最早进入,最早被抄,现在是第二大海外市场 Jawbone是几家智能手环厂商中最早进入中国市场的,去年5月Jawbone UP就登陆中国市场,主要销售渠道是Apple S

现阶段智能硬件所收集的都是无用数据?

自入行起,长久以来,宅客君一直存着一个疑问:每家智能硬件都以收集数据作为主打功能,但从来没有一家能真正利用这些数据.为什么会这样? 雷锋网(公众号:雷锋网)专注于产品的宅客工作室小伙伴们,过手少说也有数百款硬件产品,但真讨论起来,都觉得数据分析这一块,没哪家是可以说出来推荐的.大家都还在起步阶段. 这个事儿说起来很尴尬.厂商们宣传中经常说:通过积累数据,可以做到基于个人习惯的推荐设置.自动设置.不同设备无障联动以及更深入的研究,但实际这些功能一直在跳票,产品里完全没有体现. 为何如此,是否因为数

三星宣布今年推出的智能电视都用Tizen操作系统

三星借智能电视推Tizen操作系统1月4日消息,电子业巨头三星已经宣布其计划在今年所推出的全部智能电视产品上都使用Tizen操作系统.Tizen是一款基于开放源代码的移动操作系统,采用Linux核心和WebKit运行.2011年之前,它是以LiMo的形式存在的.很大程度来讲,Tizen是三星和英特尔的专属开发项目.Tizen得到三星青睐的部分原因在于其可以为智能手机.平板电脑.上网本.车载消息娱乐设备以及智能电视等多种设备提供统一的操作系统.三星已经在去年6月份展示了搭载Tizen操作系统的智能

智能硬件设备八大安全问题分析

目前,IoT 技术还处于起步阶段,与金融.电子商务等其他行业相比,安全性尚未得到充分理解和明确定义.开发一款IoT 产品时,不论是像可穿戴设备这样的小型产品,还是像油田传感器网络或全球配送作业这样的大型IoT部署,从一开始就必须考虑到安全问题.要了解安全的问题所在,就需要了解IoT 设备的攻击方法,通过研究攻击方法提高IoT产品的防御能力. 作为国内最早从事智能硬件安全攻防研究的团队,基于长期的智能硬件安全攻防实践,360攻防实验室对智能硬件设备的安全隐患进行了系统的分析和梳理,总结了智能硬件设

智能手表泄露银行卡密码?专家:不必过分担心

美国研究人员称,智能手表等穿戴产品存在泄露用户密码的风险!这个消息让不少网友"整个人都不好了",真是这样吗? 随着物联网时代到来,可供消费者选择的新型电子产品越来越多,穿戴式的智能设备就是其中之一,且正以惊人的速度普及.所谓穿戴式智能设备就是日常生活中可以穿戴在身上的设备,除了大名鼎鼎的Google Glass,更常见的还有健身记录器.智能手表等.当各种各样的智能手表.手环让我们体验到了科技发展.互联网络所带来的巨大便利时,也引发了一些网民容易忽略掉的安全隐患.<每日邮报>