安全警示
只需谷歌搜索就能黑遍所有智能硬件
30分钟。这是来自以色列 Ben-Gurion 大学的研究团体黑进摄像头、儿童监护器、门铃、恒温器和其他联网——但不太智能的——设备所需要的时间。甚至不需要任何特别的黑客技术,任何人都可以做到。
credit:123RF
唯一需要的工具是一根手指——或者鼻子也可以,在浏览器里输入你要黑的设备的品牌和型号。把这些信息输入谷歌进搜索框,只需要几分钟,你就能找到一个网站或论坛,里面就介绍了如何利用制造商设置的默认管理员用户名和密码进入设备。任何□□癖、小偷、前任或者偷窥狂都能利用这些信息进入你家安装的联网设备。政府和犯罪组织也可以用这些用户名密码立刻控制许多设备,用来挖掘数据、监视、或是来一次全球性的互联网攻击。
这次的研究由 Yossi Oren 发起,他是 Cyber@BGU 的实施安全与边信道攻击实验室的1负责人(Implementation Security and Side-Channel Attacks Lab )。他和同事一同分析了 16 十分款受欢迎的物联网设备,高端低端都有,他们用几种不同的逆向工程技术来测定当你和这些设备有物理连接时,获取设备密码有多简单。
团队将这些设备的密码都输入了实验室版的 Mirai ——一款著名的僵尸网络恶意软件,专门用来操控大量物联网设备组织大规模攻击。然后,他们演示了同时感染同型号的设备有多简单。
而且团队还发现,你都不需要黑进你自己的设备:各个地区的黑客能在产品进入市场的时候就用相同的办法黑进这些设备,然后再把密码公开。Oren 和那些黑客一样,几秒钟之内就连接上了所有的硬件,然后“通过一个婴儿监护器就能远程打开音乐,关掉恒温器,打开摄像头。”
如果你一定要用这些物联网设备,Oren 和团队给了你一项建议:从一个靠谱的经销商那儿买(这里有靠谱的吗?我们不知道,研究团体也没有给出建议,而且我们知道即使是高端设备也有漏洞),而且不要买二手的,因为有可能被植入恶意软件,升级安全固件,另外还有最重要的一部,修改默认密码。
看到这样的情况,我们不得不思考:这个问题不是一个简单的用户体验设计就能解决的吗?如果这些设备的安全漏洞真的只是用户不改默认用户名和密码,难到公司不能强迫用户修改吗?难到不能强迫他们设置 16 位的密码吗?,这在智能设备启动设置时的第一屏就能解决。用户也不会觉得要求很奇怪。这就和我们打开新电脑的时候设置用户们和密码一样啊。当然,改掉默认的用户们和密码不能解决糟糕的安全设计问题,例如留有给远程管理用的后门或者防火墙设计的很烂,但对于解决这些基础的安全问题还是有帮助的,即使牺牲了便利性,公司也应该采取措施。除此以外,我们作为消费者还应该思考一下 Ben-Gurion 团队的建议:“仔细考虑一下给一个设备联接上网络的利弊。”换言之就是:在问题解决以前,别TM再用这些垃圾了。
本文译自 fastcodesign,由 Dkphhh 编辑发布。