当你的房子着火了似乎是并不是一个什么好的消息。一个互联网连接的门锁,可以从你的智能手机程序管理起来更便捷,但是当一个恶意软件可以触发火宅报警,并且在你不经意的情况下打开你家的大门,那么所谓的智能似乎变得不那么安全了呢?那么你的“智能家居”似乎也并没有那么智能了呢?
安全研究界多年来一直警告大家,所谓的物联网,特别是联网的家居,也就是现在所谓的智能家居,在发现大批新的破解漏洞进入到日常物品。现在,密歇根大学和微软的一组研究人员已经把他们称之为“智能家庭”平台的第一个深入安全分析,允许任何人控制自己的家用电器从灯泡到锁的电脑或智能手机。他们发现他们可以把令人不安的伎俩在互联网上,从触发烟雾探测器将在数字锁提供了无声的访问您的家庭种植“借壳”的 PIN 码,所有这一切,他们计划在本月晚些时候对安全和隐私的 IEEE 研讨会。
“如果这些应用程序的控制像窗帘一样可有可无的东西,用户就需要考虑是否要放弃的安全关键设备的控制,“Earlence 费尔南德斯,密歇根大学的研究人员之一说。 “最糟糕的情况是,攻击者可以在他想要的,完全作废锁的想法随时进入你的家。”
解锁你的门
微软和密歇根的研究人员集中在检测三星 SmartThings 平台,家庭网络系统,在成千上万的家庭,根据谷歌的统计下载它的 Android 应用程序的单独。他们的发现让他们发展四攻击 SmartThings 系统,利用设计缺陷,包括严重的控制限制应用程序的访问连接设备的特点,以及认证系统让黑客冒充合法用户登录到 SmartThings 云平台。
在最严重的攻击概念证明,研究人员发现他们可以利用 SmartThings 的缺陷实现 OAuth 认证协议称为。研究人员分析了 Android 应用程序设计来控制 SmartThings 的服务,并发现某些代码的意思是秘密,让他们利用在 SmartThings Web 服务器称为一个“开放重定向漏洞。”(研究人员拒绝透露,Android 应用程序来避免复制帮助真正的黑客的攻击。)
恶意链接甚至可以广播广泛 SmartThings 受害者厂秘密后门代码在任何 SmartThings 主人锁谁点击了它,Atul Prakash 说,密歇根大学的计算机科学教授从事研究工作。“就让他们去点击这些链接在帮助论坛或邮件做大量用户的攻击,这绝对是可能的,”说,该。“一旦你有,谁点击和迹象,我们就需要控制自己的智能应用程序的凭据。”
不好的应用程序
研究人员承认,他们的四个示范攻击其他三需要更多的参与水平欺骗:攻击者必须说服他们的受害者下载恶意软件伪装成三星 SmartThing 的应用程序专用的应用商店,似乎只是监控各种设备的电池充电在 SmartThings 的家庭网络。挑战就不只是让别人下载的应用程序,但在走私邪恶的程序到 SmartThings 应用商店摆在首位,一步研究人员实际上并没有尝试为法律后果或妥协的真正的人民的家园的恐惧。
由于他们所描述的应用程序的权限,SmartThings 的系统设计缺陷但这种电池监控应用程序实际上会比预期更大的 SmartThings 访问这些设备。它安装,研究人员已经证明,攻击者可以禁用“度假模式”,一个设置定期转灯,让人似乎在国内掀起的烟雾探测器,或偷针从受害者的门锁,并通过短信向攻击者发送。
这是一个特权问题
研究人员说,然而,他们的攻击仍将今天的工作以及他们第一次接触 SmartThings 不安卓应用他们的逆向工程开发 SmartThings 认证缺陷和特权超越缺陷已被固定。他们认为,它将为三星的 SmartThings 应用评论者检测恶意软件他们创建的排序是艰难的。电池的监测应用程序的恶意命令实际上没有一明显的代码,他们说,也可以由控制应用程序服务器时,它的过去,代码审查和对受害者的设备上运行。
“密码设置可以很好地将恶意的东西,”费尔南德斯说。“但你要明确寻找。”作为证据,SmartThings 业主会安装他们的恶意软件,他们进行了 22 人使用 SmartThings 设备的调查发现,百分之 77 的人会在电池监控软件感兴趣。
研究人员认为,在 SmartThings 平台更为根本的问题是“Android”,就像智能手机的应用程序要求用户的权限访问他或她的位置,一个 SmartThings 应用意味着检查锁的电池不能偷走它的引脚或引起火灾报警,他们认为。事实上,他们分析了 499 个 SmartThings 和发现,超过一半的人至少有某种程度的特权,他们认为过于宽泛,这 68 的实际使用能力,他们不应该拥有。“只需要一个好的应用程序,这就是它,”说,该。“他们真的需要解决这个 Android 的问题。”
消费者更广泛的教训很简单,说密歇根的 Prakash:接近一个谨慎的智能家居的整体概念。“这些软件平台是相对较新的。使用它们作为一种业余爱好是一回事,但他们还没有在敏感的任务,”他说。“作为一个部署他们的房主的思维,你应该考虑最坏的情况下,一个远程的黑客和你一样的能力,看看这些风险是可以接受的。”
翻译:Fanly
题图来自:Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors and Set Off Fire Alarms
