廢棄的智能燈泡也有可能危及你的網絡安全
Devin Coldewey 發佈
你可能買過便宜的智能燈泡或安全攝像頭,你可能認為購買這些設備的最大風險只不過是要多花點心思進行設置,或者找不到設置選項。然而,這些設備的安全風險不僅存在於正常使用時,即使在被扔進垃圾箱之後,它們仍有可能危及你的網絡安全。
雖然這些所謂的物聯網設備大多非常小巧,而且也稱不上智能,但它們仍然是功能完備的網絡設備。要防止它們把你的私密信息以明文形式廣播出去或是把系統最高訪問權限洩漏給外人,你可能不需要做太多事情,但仍然需要採取一些基本的預防措施。
據 Hack a Day 報道 ,安全博客 Limited Results 對一些廉價“智能”燈泡進行了調查 ,結果發現安全問題並不在於這些設備在聯網時做了什麼,而是它們在電路板上存儲了什麼以及存儲的方式。
Limited Results 測試的燈泡全都不具備真正的安全機制來保護內部芯片上的信息,在拆卸下燈泡的電路板後,測試人員只是接上了幾個觸點,沒過多久便找到了設備的引導數據,並且能夠對設備進行寫入指令的操作。
那些數據無一例外完全未經加密,其中包括設備所連接網絡的密碼。此外,有一款智能燈泡中還洩漏了私有的 RSA 密鑰,這種密鑰被用於創建跟服務器之間的安全連接(以檢查升級以及向雲端上傳用戶數據,諸如此類)。如果某個人從垃圾桶裡撿起這樣的智能燈泡,或是偷走安裝在室外的燈泡,或是買下二手貨,那麼他(或她)便有機會獲取這些信息。
“說實話,90%的物聯網設備在開發時都沒有考慮到安全問題,這是一場災難。”Limited Results 在一封電郵中寫道,“在我進行的研究中,我測試了 4 款不同的設備,分別來自 LIFX、小米、TUYA 和 WIZ(針對 WIZ 的評測文章尚未發表,這家公司的人非常不友好)。相同的設備,相同的漏洞,有的甚至擁有相同的內部代碼。”
目前,這些設備暴露的信息就其本身而言並沒有太大危害,然而如果有人居心叵測,他們可以從幾個方面加以利用。值得引起警醒的是,製造商對此漠不關心——不僅僅是設備的代碼,還有設備的製造方式。事實上,這些設備就是在現成的無線電路板上安上元件,根本沒有考慮過安全性、保密性或是使用壽命。而且,存在問題的絕不僅僅是智能燈泡。
這些設備都自豪地宣稱它們支持 Alexa、Google Home 或其他標準,這可能讓用戶誤以為它們在某種程度上可以被信任、經過了檢查或遵循了基本的標準。
實際上,這些設備根本沒有任何安全機制。更有甚者,一款智能燈泡僅僅用一張不怎麼牢靠的膠粘紙來實現金屬外殼和 PCB 電路板的絕緣,這樣做就是等著火災(至少也是短路)發生。
跟任何其他類型的電子產品一樣,便宜沒好貨是有道理的。但是,如果你買的是便宜的 CD 播放器,最糟糕的結果可能只是播放跳幀或是 CD 光碟被刮傷。但如果你買的是便宜的嬰兒監視器、便宜的智能插座,便宜的聯網門鎖,那麼它們造成的糟糕結果就沒有這樣簡單了。
我不是說每一種智能設備你都要挑貴的買,而是提醒大家,我們需要清楚這樣的設備會帶來怎樣的風險,更不用說那些粗製濫造的便宜貨了。
如果你想把自己面臨的風險降到最低,一種簡單的做法是把智能家居設備連接到一個獨立的子網絡或訪客網絡上;還有就是確保你的設備,當然還有路由器,擁有密碼保護;並且採取一些常規措施,比如定期更改密碼。
圖片來源:Limited Results
閱讀更多 一刻小松 的文章
