ISC专家显神通:教你隔空玩坏隔壁老王家的智能家电

    智能电视、智能冰箱、智能路由器、智能空调……但凡你能想到的家居产品如今都慢慢被挂上了“智能”的字眼,然而这些智能设备让人们感受到便捷的同时却面临着安全的挑战。9月底的中国互联网安全大会(ISC2015)上

智能电视、智能冰箱、智能路由器、智能空调……但凡你能想到的家居产品如今都慢慢被挂上了“智能”的字眼,然而这些智能设备让人们感受到便捷的同时却面临着安全的挑战。9月底的中国互联网安全大会(ISC2015)上,北京华永兴安科学技术有限公司创始人王英键现场演示了他的“黑”技术,并表示80%的IOT设备存在隐私泄露或者滥用风险。

图:王英键现场上演各种智能家居产品破解

“好用的智能设备不一定安全”,ISC2015数据篡改与物联网安全论坛上,王英键从对一台智能路由器的挑剔说起。在王英键看来,路由器是一个家庭的网关,重要性不言而喻。但从黑客的角度来看,若要发动攻击,也是通过路由器接入局域网,在此过程中,王英键发现这类设备存在着不少缺陷,攻击者可以借此进行窃听。

王英键提出,80%的IOT设备存在隐私泄露或者滥用风险、80%的设备允许使用弱密码、70%的IOT设备通讯录没有加密、60%的IOT设备web界面存在漏洞、60%的IOT设备下载软件更新时没有使用加密。

针对智能家居的安全现状,王英键从黑客视角,介绍了普通采用的攻击模式和方法。他介绍称,针对传统家电所谓的“智能化”,常见以设备的身份验证、传输过程中敏感数据加密与否、云端是否作了访问控制等为攻击切入点,通过重放攻击、中间人攻击等手段,以手机APP通过云端给IoT设备下发指令、或者IoT设备通过云端向APP回馈数据,即APP与云端的交互、IoT设备和云端的交互作为攻击路径。

这意味着,利用这些安全隐患,黑客可能轻而易举的给隔壁老王制造恶作剧。通过侵入网络,以手机控制设备就能接受电视信号,然后通过设备转发控制电视,在家就能看到隔壁老王家的电视!除此之外,利用同样的方式可以控制老王家的空调、幕布升降、打开车门,这些都不是事儿。

如果你技术过硬、如果你足够调皮,还可以控制隔壁门铃的频率。通过设置一个固定码,就能让隔壁门铃不断响起,隔壁也会不断的开门,如此循环,光是想想就觉得很酸爽。

王英键演示的这些“黑”技术看起来很搞笑,但实际上物联网中普遍存在的弱口令、后门、漏洞等,一旦被不轨之人加以利用,小到个人生活、个人隐私安全,大到海量的大数据安全,甚至是人身安全都面临严峻威胁,不容小觑。对此,王英键建议IOT设备开发者尽量做到安全编码开发规范生产、设备固件签名、强大完善的固件签名、强大完善的复合身份认证机制、源代码审计等。

据悉,中国互联网安全大会是由中国互联网协会和360互联网安全中心共同创办于2013年,经过3年发展已经成长为亚太地区规模最大、最具影响的网络安全行业盛会。主题为“数据驱动安全”的2015中国互联网安全大会(ISC 2015)9月29日~30日在北京国家会议中心举行,在为期两天的会议中,来自中国、美国、以色列、澳大利亚、韩国、新加坡等国家的120位全球顶级安全专家,在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上围绕110个议题分享最新的研究成果和行业洞见,深入交流全球信息安全最新发展趋势,共同探讨网络安全行业未来。


精彩评论 0

还可以输入100个字,评论长度3个中文字符以上
95919000:2017-09-25 17:38:10