贝尔金智能家居设备发现重大安全漏洞
智能家电、智能家居产品市场目前异常火爆,硬件创业也正是目前科技风险投资的热门话题,但是对于安全专家们来说,由消费电子甚至家电厂商制造的大量安全性能极差的智能家居设备正在成为个人和企业信息安全木桶中的那块短板。
此前,安全牛曾经报道过三星和LG智能电视存在严重安全漏洞,黑客可以通过电视摄像偷拍用户照片,甚至在用户使用智能电视登录网银时窃取用户账号密码。
近日信息安全公司IOActive又在贝尔金公司的WeMo智能家居系统中发现大量安全问题,包括固件、网络通讯和API都存在重大安全隐患。
IOSActive发现WeMo系统泄漏了用于签发固件的秘钥和密码,这让攻击者很容易用伪造固件替换原版固件而不被用户发现。
更加过分的是,虽然WeMo使用SSL与贝尔金的固件RSS源通讯,但是系统从不检查SSL证书,这意味着黑客可以使用任何证书来冒充贝尔金的云服务,向用户推送恶意固件的同时截获用户的账户密码。
WeMo的另外两个漏洞也非常容易被利用。为了穿透NAT,WeMo使用了STUN和TURN协议。攻击者可以使用一个WeMo设备直接与其他WeMo设备通讯,组成所谓的设备间的“虚拟暗网”。
WeMo设备的web服务器也存在bug。计算机应急响应小组CERT的一位顾问指出:贝尔金的WeMo智能家居API服务器有一个XML注入漏洞。攻击者可以通过XML注入攻击peerAddresses API,从而导致系统文件内容的泄露。
IOActive估计目前市场上已经销售出上百万个WeMo设备,而对于IOActive发现的诸多安全漏洞,贝尔金公司至今也无任何对策。Linksys爆出的“the moon”蠕虫已经为我们敲响了警钟,智能家居联网设备的漏洞一旦曝光,就会招来攻击者。
对于黑客和犯罪分子而言,攻击智能家居设备的优点不言而喻,PC上有杀毒软件,而智能家居网络设备则基本不设防,被发现的风险要小很多。
此前,安全牛曾经报道过三星和LG智能电视存在严重安全漏洞,黑客可以通过电视摄像偷拍用户照片,甚至在用户使用智能电视登录网银时窃取用户账号密码。
近日信息安全公司IOActive又在贝尔金公司的WeMo智能家居系统中发现大量安全问题,包括固件、网络通讯和API都存在重大安全隐患。
IOSActive发现WeMo系统泄漏了用于签发固件的秘钥和密码,这让攻击者很容易用伪造固件替换原版固件而不被用户发现。
更加过分的是,虽然WeMo使用SSL与贝尔金的固件RSS源通讯,但是系统从不检查SSL证书,这意味着黑客可以使用任何证书来冒充贝尔金的云服务,向用户推送恶意固件的同时截获用户的账户密码。
WeMo的另外两个漏洞也非常容易被利用。为了穿透NAT,WeMo使用了STUN和TURN协议。攻击者可以使用一个WeMo设备直接与其他WeMo设备通讯,组成所谓的设备间的“虚拟暗网”。
WeMo设备的web服务器也存在bug。计算机应急响应小组CERT的一位顾问指出:贝尔金的WeMo智能家居API服务器有一个XML注入漏洞。攻击者可以通过XML注入攻击peerAddresses API,从而导致系统文件内容的泄露。
IOActive估计目前市场上已经销售出上百万个WeMo设备,而对于IOActive发现的诸多安全漏洞,贝尔金公司至今也无任何对策。Linksys爆出的“the moon”蠕虫已经为我们敲响了警钟,智能家居联网设备的漏洞一旦曝光,就会招来攻击者。
对于黑客和犯罪分子而言,攻击智能家居设备的优点不言而喻,PC上有杀毒软件,而智能家居网络设备则基本不设防,被发现的风险要小很多。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
邮箱投递
关注网络尖刀微信公众号
