Global Sources
電子工程專輯
 
電子工程專輯 > 射頻/無線
 
 
射頻/無線  

專家透過發現連網裝置安全漏洞尋找防護之道

上網時間: 2014年08月25日     打印版  Bookmark and Share  字型大小:  

關鍵字:駭客  隱私  物聯網  Nest  智慧恆溫器 

研究人員在不久前的Black Hat USA大會上,展示目前市場熱賣的智慧型恆溫裝置如何會受到駭客入侵威脅。消費者逐漸被物聯網(IoT)包圍,日常生活中的嵌入式裝置、家電都具備連網功能,而研究人員也證實,這種訴求便利的連結性為設備同時也會遭受安全風險,為使用者隱私帶來負面效應。

在8月初於美國拉斯維加斯舉行的2014年度Black Hat大會上,來自中央佛羅里達大學的研究人員Grant Hernandez、Yier Jin,以及獨立研究人員Daniel Buentello,對市場上熱賣的物聯網概念裝置──Nest Learning Thermostat智慧恆溫器重砲轟擊;三位研究人員證實,如果攻擊者能取得對該種智慧恆溫器的實體接取機會,該裝置就非常容易受到安全威脅。

研究人員們實際示範,攻擊者在不到15秒的時間內就能把Nest恆溫器從底座上移除,並透過micro USB介面的纜線植入後門惡意程式,而且恆溫器主人完全不會發現有任何改變;這種惡意程式能讓Nest被用來當做窺探使用者的工具,或是透過網路攻擊其他裝置,甚至竊取無線網路憑證等等。

這種安全威脅對目前以及未來的Nest恆溫器使用者來說有何意義?就如同我們看到的DropCam網路攝影機駭客入侵案例,攻擊者需要對裝置有實體接觸,這表示歹徒得闖入你家,恐怕是遠比恆溫器被植入惡意程式更嚴重的威脅;不過研究人員設想了許多情境,表示Nest 恆溫器可能被有心人士購買、植入惡意程式、再退貨給商店,或者是被植入過惡意程式的也可能透過線上商店被賣給特定的顧客。

而最大的問題是,如果裝置被駭客入侵了,使用者是完全不會知道;防毒軟體也無法在該類裝置中執行並搜尋惡意程式碼;基本上,若要在不轉存記憶體或分析裝置韌體的情況下察知裝置是否被駭客入侵,唯一方法就是監控網路資料流量,或是觀察是否有異常情況出現──也就是在大多數家庭網路中不太可能出現的情況。

你家的智慧恆溫器可能會被駭客入侵!
你家的智慧恆溫器可能會被駭客入侵!
(來源:Sarah Sawyer,Dark Readking)

不過研究人員還是稱讚Nest恆溫器是一款設計精良的產品,到目前為止,這款裝置的安全威脅仍僅限於透過USB纜線實體入侵;研究人員還在忙著尋找Nest網路客戶端、服務,以及可支援遠端利用的Nest Weave通訊協議是否有漏洞存在。透過存取裝置上的檔案,以及藉由硬體後門取得與執行程式互動的能力,恐怕駭客找到遠端攻擊方法只是時間問題。

除了被當作攻擊其他家用無線網路上連網裝置的「跳板」,Nest智慧恆溫器還可能帶來其他安全威脅;研究人員表示,Nest Weave通訊協議也可能是一個脆弱的切入點。Weave是一個以802.15.4標準為基礎的通訊協議,與Zigbee與WirelessHART類似,能讓Nest恆溫器與其他Nest裝置通訊,如Nest Protect煙霧/二氧化碳警報器。

如何能防止駭客攻擊同樣具備以802.15.4通訊協議為基礎之介面的裝置,例如智慧電表、遙控門鎖等等?這也是研究人員正在努力調查的部分。在大會發表專題演說時,上述研究人員們也詢問聽眾們是否會繼續使用Nest裝置;其中一位研究人員Buentello表示:「儘管我們做了那麼多研究發現它們可能有多麼危險,我還是沒放棄它們、我家裝了兩個。」

研究人員們總結表示,今日我們對於可接受之嵌入式裝置所採取的行動與決定,將替未來三十年的產品設立標準。

編譯:Judith Cheng

(參考原文: Tech Insight: Hacking the Nest Thermostat,by John H. Sawyer)





投票數:   加入我的最愛
我來評論 - 專家透過發現連網裝置安全漏洞尋找防護...
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首