陈丹的博客近期来自普林斯顿大学的两名学生做了一项实验,对六台知名物联网设备进行综合分析,最终结果和其他不可胜数的研究报告相同显示当前物联网极端不安全,处于非常危险和威胁至生命的边界线上。这六款测试的热门物联网设备包括贝尔金的WeMo Switch、Nest恒温器、 Ubi智能扬声器、Sharx安全摄像头、PixStar数字相框和Smartthings hub。
首先测试结果发现在这6款设备中大部分在通信方面没有进行加密。例如Nest恒温器在设置过程中可泄露邮编;Sharx安全摄像头通过传统FTP(并非sFTP)来将视频录像传送至存储服务器上;而PixStar智能相框的所有收发数据都是未经保护的。
而其中最为糟糕的是Ubi智能扬声器,该设备允许用户通过语音命令来控制其他数码产品。Ubi设备通过HTTP可以泄露任何所有,可以让攻击者拦截所有数据,包括传感器读卡到设备之间交互,能够让攻击者清楚知道有多少人在家,位于哪个房间,如果攻击者想要入侵至家里提供了充足的数据。
科研人员表示哪怕在部署加密的状态下,如果不合理配置同样允许攻击者检测各种信号状态,并可能随后通过该漏洞攻击获取某些用户运动状态。这种情况可能并非首次出现,研究人员已经对物联网设备抱怨多年,但是现在的问题依然存在:
● 物联网设备没有足够的物理资源来处理更强悍的安全功能
● 生产厂商并未产生足够重视,因为当前将其作为日常使用的量还并不是很多
● 没有也没有官方的指导规格出炉
● 用户并不关心或者并不知情,而厂商更不会刻意向消费者强调这些东西来避免他们选购“不安全”的产品
● 修复物联网安全存在差异化
两名学生在PrivacyCon安全峰会上演示了他们的分析报告。你可以看在下面看到他们的演示。
未经允许不得转载:陈丹的博客 » 普林斯顿大学实验:当前物联网设备极度不安全