WeMo的這套貝爾金的智能家居產(chǎn)品主要賣點在于,能讓用戶通過APP遠(yuǎn)程控制照明開關(guān)、網(wǎng)絡(luò)攝像頭、動作感應(yīng)器及其他家電產(chǎn)品,相信有部分對價格不敏感的用戶已經(jīng)試用過了。
可是它并不安全。
據(jù)arstechnica的消息,貝爾金的產(chǎn)品WoMo被攻擊者揭露各種漏洞后,安全研究人員已經(jīng)給出建議讓人們停止使用貝爾金的WeMo家庭智能產(chǎn)品,實際上,黑客已經(jīng)能自由地利用網(wǎng)絡(luò)控制調(diào)溫器和其他設(shè)備了。根據(jù)最近公布的IOActive公司研究院的反饋,攻擊者可以繞過WeMo的密碼及加密匙檢查,并簽署惡意固件偽裝在貝爾金的產(chǎn)品里。
與此同時,WeMo設(shè)備也無法連接到貝爾金安全驗證服務(wù)器上,即便用戶已經(jīng)更新了所有固件。更重要是,固件的更新通知是通過非加密渠道傳送到電腦與手機(jī)上。IOActive研究院的科學(xué)家MikeDavis表示他已經(jīng)可以把上面的這些缺陷組合成RSS讓貝爾金的用戶更新,從而暗中傳染惡意軟件。
除此以外,惡意軟件可以不受root的權(quán)限訪問WoMo設(shè)備,攻擊者可以實現(xiàn)利用單一設(shè)備的缺陷改變所有連接設(shè)備的狀態(tài)。在一段網(wǎng)絡(luò)視頻里,我們可以看到黑客可以通過代碼反復(fù)開關(guān)臺燈,這些漏洞使得黑客可以隨意篡改家庭安全系統(tǒng)中的運動傳感器。
該研究者孩提到,貝爾金由于誤用了GPG非對稱加密功能,使得它自動分發(fā)WeMo映像內(nèi)的固件簽名密匙,攻擊者可以輕松利用這點實現(xiàn)簽署固件映像的動作。
其實這也不是第一次了,早在13年10月,貝爾金的兒童監(jiān)視器便被黑客入侵成為了竊聽器,而病毒一旦入侵iPhone設(shè)備,甚至可以讓所有的智能設(shè)備通過相同的機(jī)制感染。
智能系統(tǒng)是一把雙刃劍,被編程的產(chǎn)品能實現(xiàn)效率與易用性的飛躍,但同時也造成了系統(tǒng)被侵入的風(fēng)險,而總所周知的是,世界上不存在供不破的系統(tǒng),因此對于使用者而言,需要在生活便利及個人隱私之間做一點權(quán)衡。