物联网设备已沦陷,咖啡机也不能例外
随着物联网设备的广泛使用,被黑客攻击的范围也在不断扩大,我们周边的智能设备是网络犯罪者们首要选择的攻击目标。那么咖啡机又怎能例外呢?联网的咖啡机会成为黑客入侵网络的入口,甚至可能会访问你的隐私信息。
手机上一个小小的app就可以控制咖啡机,远程在手机app上轻点几下就可喝到一杯热气腾腾的咖啡。然而app上存在一个漏洞,当应用程序和咖啡机交换信息时就给攻击者打开了一扇攻击大门。攻击者会利用这个漏洞窃取用户WiFi密码和嗅探无线网络中传输的数据。
卡巴斯基实验室的安全专家警告使用联网咖啡机时可能会存在安全隐患,同时还发现其他几个联网设备也会给用户带来安全隐患。它们分别是:
1. 视频流媒体的USB电子狗(Google Chromecast)
2. 智能手机控制的IP照相机
3. 智能手机控制的咖啡机
4. 智能手机控制的家庭安全系统
漏洞虽不少,但很难被利用
安全专家发现了数个不同危险程度的安全漏洞,说实话有些漏洞很难利用,因为满足入侵的客观条件很难实现。
当联网咖啡机打开时,它就自动打开了一个未加密的热点,可窃听UPNP流量。在客户端,智能手机上安装的app是由咖啡机厂商提供的,它会连接到一个热点并发送UDP请求广播,以搜索UPNP设备。咖啡机会与app建立一个通信,以交换诸如SSID、无线密码等数据,然而不幸的是,这些交换的数据全是明文的。
为了入侵咖啡机,攻击者需要知道用户安装app的具体时间,以及物理接触物联网设备的具体时间,从而截取用户的密码。事实上,这种攻击场景并不易实现。
厂商的反应
卡巴斯基实验室已经将这一问题报告给了咖啡机厂商,对方给出的回应是:
用户体验和安全对我们来说都非常重要,我们也一直在这两者之间寻找平衡点。你们所提到的漏洞是在安装过程中发生的,属于低危。如果要获得访问权限,攻击者需要在目标家庭网络的附近,并且时间还必须保证在应用安装的过程中,也就是说攻击只能在短短的几分钟和一定的距离内才能完成。
我们不相信这个漏洞会对用户体验带来很大的影响。尽管我们还没有明确改变安装进程的计划,但如果安全风险变得非常严峻的情况下我们会毫不犹豫的做出改变。未来有什么改变我们会及时通知。
* 参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
- 深入浅出解读卷积神经网络
- CNN模型之MobileNet
- 微博MySQL优化之路 - 肖鹏
- 一文看懂常用的梯度下降算法
- Oracle 12.2新特性掌上手册 - 第一卷 Availability
- 深度学习必备---用Keras和直方图均衡化---数据增强
- 基础|认识机器学习中的逻辑回归、决策树、神经网络算法
- CNN模型之ShuffleNet
- 目标检测算法之SSD
- Hadoop学习笔记
- 利用硬链接和truncate降低drop table对线上环境的影响
- 手把手教你实现GAN半监督学习
- 【超全】C语言小白最容易犯的17种错误,你中了几个?
- Oracle 12.2新特性掌上手册 - 第五卷 RAC and Grid
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 让终端支持https,移植OpenSSL和libcurl到嵌入式linux,遇到的问题总结
- ComplexHeatmap|根据excel表绘制突变景观图(oncoplot)
- R-plotly|甘特图(Gantt chart)- 一不小心年中了,立个flag
- XXE漏洞那些事儿(JAVA)
- Hexo 建站过程
- Tidyverse|tidyr数据重塑之gather,spread(长数据宽数据转化)
- fastjson中的jndi注入
- R|生存分析-结果整理
- 实验吧-因缺思汀的绕过
- MySQL 用户与授权管理详解
- 基本知识|R语言简单饼图的绘制
- 分享一个有趣且牛逼的漏洞
- ggplot2-annotation|画图点“精”,让图自己“解释”
- 使用curl工具调试https接口
- 让android支持https访问银联后台,测试成功