智能家居应用程序存在安全漏洞 家用物联网设备网络安全问题如何解?
2021-10-25 11:19:53 庆云紫光
佛罗里达理工大学的新网络安全研究发现,16种流行的智能家居设备的智能手机配套应用程序包含 "关键的加密缺陷",可能允许攻击者拦截和修改其流量。随着 (IoT)设备,如联网锁、运动传感器、安全摄像头和智能扬声器在全国各地的家庭中变得越来越普遍,它们的急剧普及意味着更多人面临网络入侵的风险。
计算机工程和科学助理教授TJ O'Connor和学生Dylan Jessee和Daniel Campos在他们的论文《通过望远镜》中写道:"物联网设备提供了连接锁、警报器和安全摄像机的安全承诺。走向物联网伴侣应用程序的中间人攻击。然而,攻击者可以利用物联网的不成熟但无孔不入的特性,对受害者进行监视和监控。"奥康纳领导佛罗里达理工大学的网络安全项目,并指导物联网安全和隐私实验室(如上图),该实验室对互联网连接的摄像机的隐私缺陷进行了令人大开眼界的研究。今年夏天,他被任命为首届美国网络游戏团队的总教练。
奥康纳和他的学生进行的研究经常强调消费者物联网设备的令人不安的漏洞,他们的最新论文继续关注这一问题。
研究人员对20台设备进行了一系列 "中间人 "攻击,其中犯罪者试图拦截各方之间的通信,以便窃取登录凭证、进行间谍活动或其他邪恶活动,研究人员发现,16家设备供应商未能实施安全措施,从而使这些攻击成为可能。
我们假设,物联网的分布式通信架构引入了漏洞,允许攻击者拦截和操纵通信通道,影响物联网设备的用户级感知,该研究针对广泛的智能家居设备供应商应用这种(攻击)来隐藏恶意用户,抑制运动报告,修改摄像头图像,解锁门,并操纵历史日志文件。
显示这一漏洞的物联网设备有。亚马逊Echo、August锁、Blink摄像头、Google Home摄像头、Hue灯、Lockly锁、Momentum摄像头、Nest摄像头、NightOwl门铃、Roku电视、Schlage锁、Sifely锁、SimpliSafe警报、SmartThings锁、UltraLoq锁和Wyze摄像头。来自四家供应商的设备--Arlo、Geeni、TP-Link和Ring--被发现不容易受到研究人员实施的攻击的影响。研究人员写道:"虽然我们的工作发现了普遍存在的故障,但供应商可以采取措施,改善智能家居设备及其应用的保密性和完整性。"
研究人员在发布他们的工作之前,向受影响的供应商和苹果披露了这些漏洞。正如研究人员在他们的论文中所强调的,供应商必须实施更强大的服务器端加密实现,以防止这些攻击。一些供应商已经开始实施这些建议,包括Wyze,该公司在研究人员于8月在网络安全实验和测试研讨会上介绍他们的发现之前更新了其配套的应用程序。
部分取自网络,如有侵权请联系小编删除
计算机工程和科学助理教授TJ O'Connor和学生Dylan Jessee和Daniel Campos在他们的论文《通过望远镜》中写道:"物联网设备提供了连接锁、警报器和安全摄像机的安全承诺。走向物联网伴侣应用程序的中间人攻击。然而,攻击者可以利用物联网的不成熟但无孔不入的特性,对受害者进行监视和监控。"奥康纳领导佛罗里达理工大学的网络安全项目,并指导物联网安全和隐私实验室(如上图),该实验室对互联网连接的摄像机的隐私缺陷进行了令人大开眼界的研究。今年夏天,他被任命为首届美国网络游戏团队的总教练。
奥康纳和他的学生进行的研究经常强调消费者物联网设备的令人不安的漏洞,他们的最新论文继续关注这一问题。
研究人员对20台设备进行了一系列 "中间人 "攻击,其中犯罪者试图拦截各方之间的通信,以便窃取登录凭证、进行间谍活动或其他邪恶活动,研究人员发现,16家设备供应商未能实施安全措施,从而使这些攻击成为可能。
我们假设,物联网的分布式通信架构引入了漏洞,允许攻击者拦截和操纵通信通道,影响物联网设备的用户级感知,该研究针对广泛的智能家居设备供应商应用这种(攻击)来隐藏恶意用户,抑制运动报告,修改摄像头图像,解锁门,并操纵历史日志文件。
显示这一漏洞的物联网设备有。亚马逊Echo、August锁、Blink摄像头、Google Home摄像头、Hue灯、Lockly锁、Momentum摄像头、Nest摄像头、NightOwl门铃、Roku电视、Schlage锁、Sifely锁、SimpliSafe警报、SmartThings锁、UltraLoq锁和Wyze摄像头。来自四家供应商的设备--Arlo、Geeni、TP-Link和Ring--被发现不容易受到研究人员实施的攻击的影响。研究人员写道:"虽然我们的工作发现了普遍存在的故障,但供应商可以采取措施,改善智能家居设备及其应用的保密性和完整性。"
研究人员在发布他们的工作之前,向受影响的供应商和苹果披露了这些漏洞。正如研究人员在他们的论文中所强调的,供应商必须实施更强大的服务器端加密实现,以防止这些攻击。一些供应商已经开始实施这些建议,包括Wyze,该公司在研究人员于8月在网络安全实验和测试研讨会上介绍他们的发现之前更新了其配套的应用程序。
部分取自网络,如有侵权请联系小编删除
