便捷≠安全：WeMo產(chǎn)品有漏洞

2014-02-24 13:33 閱讀 3288 來源：雷鋒網(wǎng) 評(píng)論區(qū)

安全研究員稱希望人們能停止使用Belkin的WeMo家庭自動(dòng)化產(chǎn)品，因?yàn)樯厦娲嬖诘母鞣N漏洞可能使家庭網(wǎng)絡(luò)、恒溫器或其他設(shè)備遭到惡意控制。

　　WeMo產(chǎn)品可以讓人們通過智能手機(jī)和計(jì)算機(jī)遠(yuǎn)程控制電燈開關(guān)、網(wǎng)絡(luò)攝像頭、傳感器和其他家用電器。根據(jù)安全公司IOActive人員的研究，通過設(shè)置密碼和簽名密匙來保證固件更新，確實(shí)行之有效。但是黑客會(huì)使用證書繞過WeMo的安全檢查，或者偽裝成Belkin的官方版本植入偽裝固件。

　　當(dāng)用戶連接到Belkin服務(wù)器，WeMo設(shè)備是無法驗(yàn)證安全證書的正規(guī)性的，即使安裝的是最新版本。另外，通過手機(jī)或者電腦接收的固件更新通知也沒有使用加密通道。IOActive研究員Mike Davis說，他可以先利用這些漏洞給WeMo產(chǎn)品發(fā)送固件更新的假消息，然后在更新時(shí)偷偷地給產(chǎn)品裝上惡意固件。

　　Davis說，這個(gè)惡意固件可以進(jìn)入未加密的WeMo設(shè)備并且通過黑客發(fā)送的信息來感染其他的家電。更嚴(yán)重的是，攻擊者也可以通過功能方面的漏洞來改變?cè)O(shè)備的使用狀態(tài)。上個(gè)月發(fā)布的一個(gè)視頻就展示了通過惡意攻擊來反復(fù)打開和關(guān)閉一個(gè)臺(tái)燈。黑客們也可以用這樣的方法來控制家中的其他設(shè)備，從而破壞家庭安全系統(tǒng)。

　　為了防止這個(gè)問題，Belkin利用GDG加密來進(jìn)行固件更新。然而不幸的是，Belkin本意可能是使用簽名和公鑰結(jié)合的對(duì)稱加密方式，卻誤用了GPG非對(duì)稱加密的功能，結(jié)果在他們的固件鏡像里強(qiáng)行分發(fā)了一個(gè)固件簽名秘鑰。這導(dǎo)致黑客可以輕松利用固件鏡像攻擊現(xiàn)在的WeMo設(shè)備。

　　WeMo產(chǎn)品的另一個(gè)漏洞與他們聯(lián)網(wǎng)的方式有關(guān)，一個(gè)監(jiān)測了幾個(gè)月的研究員表示，利用WeMo嬰兒監(jiān)視器上存在的漏洞，可以把它變成一個(gè)聯(lián)網(wǎng)裝置的監(jiān)控設(shè)備。

　　IOActive把這些漏洞做成報(bào)告發(fā)給了US-CERT，鑒于Belkin沒有對(duì)后者關(guān)于這些漏洞的通告作任何回應(yīng)，US-CERT建議人們馬上停止使用WeMo設(shè)備。

　　目前尚不清楚可以怎樣應(yīng)對(duì)IOActive所描述的這些概念性攻擊。報(bào)告省略了很多技術(shù)性細(xì)節(jié)，可能是為了讓讀到的人難以去模仿這些惡意攻擊。如果黑客真的可以利用這些漏洞而不需要去進(jìn)行密碼配對(duì)，那么不用IOActive提醒，大家也會(huì)盡快拋棄WeMo產(chǎn)品。但是如果Belkin先通過停止更新等方法來鎖住產(chǎn)品，然后一一修復(fù)漏洞，可能會(huì)更好地解決這個(gè)問題——而不是就此丟棄。

　　Davis還說，使用防火墻來保護(hù)設(shè)備是無效的，因?yàn)閃eMo使用的是繞過網(wǎng)絡(luò)地址轉(zhuǎn)換的協(xié)議。

免責(zé)聲明：本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的，皆為無意。如您是字體廠商、圖片文字廠商等版權(quán)方，且不允許本站使用您的字體和圖片文字等素材，請(qǐng)聯(lián)系我們，本站核實(shí)后將立即刪除！任何版權(quán)方從未通知聯(lián)系本站管理者停止使用，并索要賠償或上訴法院的，均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索，將不予任何的法律和經(jīng)濟(jì)賠償！敬請(qǐng)諒解！

您可能也喜歡這些文章

參與評(píng)論

回復(fù)：

0/300

文明上網(wǎng)理性發(fā)言，評(píng)論區(qū)僅供其表達(dá)個(gè)人看法，并不表明a&s觀點(diǎn)。

0

推薦專題

熱門排行

關(guān)于我們

a&s傳媒是全球知名展覽公司法蘭克福展覽集團(tuán)旗下的專業(yè)媒體平臺(tái)，自1994年品牌成立以來，一直專注于安全&自動(dòng)化產(chǎn)業(yè)前沿產(chǎn)品、技術(shù)及市場趨勢的專業(yè)媒體傳播和品牌服務(wù)。從安全管理到產(chǎn)業(yè)數(shù)字化，a&s傳媒擁有首屈一指的國際行業(yè)展覽會(huì)資源以及豐富的媒體經(jīng)驗(yàn)，提供媒體、活動(dòng)、展會(huì)等整合營銷服務(wù)。

全球網(wǎng)站
法蘭克福
asmag.com
asmag.com.cn
中國臺(tái)灣智慧安防網(wǎng)

微信

a&s官方微信
QQ
微博
百家號(hào)
頭條號(hào)
知乎號(hào)

免責(zé)聲明：本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺(tái)。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的，皆為無意。如您是字體廠商、圖片文字廠商等版權(quán)方，且不允許本站使用您的字體和圖片文字等素材，請(qǐng)聯(lián)系我們，本站核實(shí)后將立即刪除！任何版權(quán)方從未通知聯(lián)系本站管理者停止使用，并索要賠償或上訴法院的，均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索，將不予任何的法律和經(jīng)濟(jì)賠償！敬請(qǐng)諒解！

粵公網(wǎng)安備 44030402000264號(hào)

用戶
反饋

久久久18,天天躁夜夜躁狠狠躁婷婷,国产成人三级一区二区在线观看一,最近的2019中文字幕视频 ,最新免费av在线观看

便捷≠安全：WeMo產(chǎn)品有漏洞