網絡安全公司賽門鐵克(Symantec)於近日發文稱,一些未得到安全保護的LED燈泡可能會遭到黑客的遠程劫持,並洩露你的密碼。
現如今,物聯網(IoT)家用設備開始變得越來越流行。許多人可能正在考慮,在今年聖誕節的時候為自己溫暖的小家購買更多的智能家居設備。從微波爐到熱水器,從取暖器到煙霧探測器,似乎每一種設備都有一個可以集成到家庭網絡中的智能版本。
最近,在研究物聯網設備所面臨的新威脅的過程中,賽門鐵克在一個遙控全綵LED燈泡中發現了一些安全問題。賽門鐵克表示,這個燈泡來自一個價格低廉的品牌,可以在許多網上商店買到。為了充分利用該燈泡的功能,用戶必須安裝一個配套的智能手機應用程序,並創建一個免費賬戶。然後,這個燈泡將會被添加到本地Wi-Fi網絡中,可以通過互聯網進行遠程控制。
未加密的通信洩露了登錄信息
賽門鐵克表示,在分析網絡流量時,他們首先注意到,這個智能手機應用程序主要使用的是HTTP請求與雲後端進行交互,只有少數幾個請求(例如,註冊新用戶或登錄)是通過HTTPS加密發送的。
不幸的是,一些未加密的請求包含了許多敏感信息。例如,當用戶決定修改燈泡的名稱時,會涉及到發送一個未加密的POST請求,其中就包含了用戶的電子郵箱地址(明文)和未加密的密碼MD5散列值。也就是說,任何能夠連接到用戶網絡的人,都能夠通過嗅探網絡流量來獲取到這些密碼散列值。如果密碼本身並不複雜的話,那麼攻擊者就完全能夠破解它。更糟糕的是,這個應用程序壓根就沒有提供修改密碼的選項。一旦獲取到了這些數據,攻擊者就可以登錄用戶的賬戶,並接管所有的燈泡。
值得注意的是,賽門鐵克表示,這並非他們首次發現有設備將信息以明文形式進行發送。對於許多設備和應用程序來說,使用未加密的通信仍然非常普遍。
圖1. POST請求洩露敏感信息
通過燈泡收集更多的郵箱地址
另一方面,這個智能手機應用程序後臺的API允許用戶通過發送燈泡的MAC地址來查找與其相關聯的用戶帳戶。但由於該應用程序不會驗證用來查找燈泡的用戶帳戶是否確實與目標燈泡存在關聯,因此攻擊者只需使用一個賬戶就可以接管大量的燈泡(通過輸入任意燈泡的MAC地址)。
這種方法允許攻擊者猜測可能有效的MAC地址,並找出更多已經被激活、且能夠被遠程控制的燈泡。反過來,通過任意一個燈泡,攻擊者都能夠接收到以明文形式傳輸的唯一ID和用戶電子郵箱地址(一個未加密的HTTP GET請求)。通過這種方式,攻擊者可以收集到大量有效的電子郵箱地址,並將它們用於進一步的攻擊,例如垃圾電子郵件活動,或者使用收集到的信息來攻擊燈泡本身。
圖2.通過接管的燈泡收集電子郵箱地址
完全操控易受攻擊的LED燈泡
一旦找到能夠被遠程控制的燈泡,攻擊者就可以與這些燈泡進行交互。所有操作都不需要任何密碼,只需要一個被盜賬戶和燈泡的MAC地址即可。由於每一個燈泡都可以由多個用戶控制,因此攻擊者完全通過一個賬戶就可以控制多個賬戶下的所有燈泡,包括開/關、切換顏色或重命名。
賽門鐵克表示,雖然這家供應商之前已經升級了應用程序,並使用了更加安全的API函數。但遺憾的是,由於遺留問題,舊的API仍在接收不安全的請求。但到目前為止,沒有任何跡象表明,這些燈泡已經遭到了黑客的攻擊。
本文由 黑客視界 綜合網絡整理,圖片源自網絡;轉載請註明“轉自黑客視界”,並附上鍊接。
閱讀更多 黑客視界 的文章
