卡巴斯基帮助消除智慧家庭控制器中的严重漏洞

  • 时间:
  • 浏览:0

  卡巴斯基研究人员调查了有有一一两个活跃的智慧人生家庭生态系统的控制设备,然后发现了多个严重漏洞。其中包括云基础设施中的漏洞和潜在的远程代码执行漏洞,都都可不都可不上能让第三方获得控制器的“超级用户”访问权限,从而都需用任意操纵智慧人生家庭基础设施。没越来越人 将调查结果分享给了那些设备的供应商Fibaro,没越来越人 立即出理 了那些问题图片图片,并更新了安全协议。

  自从物联网(IoT)的安全性首次研究以来,将会过去了多年,随着物联网领域的不断扩大和发展,例如研究的重要性依然居于:将会随着新产品和新的出理 方案的跳出,也会伴随着新的威胁层面的跳出,危及用户的安全。卡巴斯基的一名员工向该公司的研究人员提出挑战,要求没越来越人 检查一下我家中部署的智慧人生系统。他允许研究人员访问他的智慧人生家庭控制器。好的反义词选用控制器,是将会它连接并监督整个智慧人生家庭的整体运营,一旦成功入侵,就都需用让网络攻击者入侵整个家庭生态系统,实施从监控到数据盗窃到物理破坏等各种攻击。

  在最初的情报分发研究阶段,安全专家发现了多个潜在入侵途径:通过广泛应用于家庭自动化的Z-Wave无线通信协议;通过管理面板的web界面;以及通过云基础设施。结果,最后有有一一两个途径是最有效的入侵路径:检查用于出理 来自设备的请求的方式,发现授权过程中居于漏洞,然后有将会执行远程代码。

  这几种攻击途径结合起来,都都可不都可不上能让第三方访问所有从Fibaro 家庭中心上传到云端的所有备份,还都需用将受感染的备份上传到云端,原本将其下载到特定的控制器——尽管攻击者越来越系统权限。

  为了完成实验,卡巴斯基专家针对控制器进行了测试攻击。为此,没越来越人 准备了专门的具有脚本的备份,然后使用密码对其进行保护。原本,没越来越人 通过云端,向设备主人发送了电子邮件和短信,督促用户更新控制器的固件。根据要求,“受害者”同意并下载了受感染的备份。原本做都都可不都可不上能让研究人员获得对智慧人生家庭控制器的超级用户权限,从而都需用操纵联网的生态系统。为了展示没越来越人 成功入侵了系统,研究人员更改了闹钟的铃声——第三三十天,你例如卡巴斯基员工被一段响亮的鼓打贝斯音乐吵醒。

  卡巴斯基ICS CERT安全研究员Pavel Cheremushkin说:“与没越来越人 不同,有有一一两个都都可不都可不上能访问家庭中心的真正的攻击者不太将会会将当事人局限于闹钟恶作剧。没越来越人 所研究的那些设备的主要功能是整合所有的“智慧人生设备”,原本主人就都需用通过有有一一两个家庭中心管理所有设备。有有一一两个重要的细节是,没越来越人 的评估针对的是有有一一两个主动部署的系统 ——而原本,大多数研究都有在实验室条件下进行的。那些研究表明,尽管没越来越人 对物联网安全性的认识有所增加,但仍然有许多问题图片图片需用出理 。更重要的是,没越来越人 研究的设备是大规模生产的,并部署在功能齐全的智慧人生家庭网络中。没越来越人 感谢Fibaro对那些问题图片图片的负责态度,将会没越来越人 知道没越来越人 专注于网络安全,然后较这次研究原本,使没越来越人 的同事的家变得更加安全”。

  “物联网基础设施需用僵化 的系统在许多层面上流畅地工作。那些基础设施涉及什么都部署和架构工作。没越来越人 感谢卡巴斯基的研究和努力。那些研究帮助没越来越人 增强了没越来越人 产品和服务的安全性。通过媒体公司合作 ,没越来越人 都都可不都可不上能消除现在漏洞。没越来越人 强烈建议FIBARO用户安装最新的更新,然后一定要检查接收到的邮件不是与FIBARO网站上的公告一致。那些更新增强了系统功能,一起让黑客更难窃取私人数据,”FIBARO首席产品官Krzysztof Banasiak说。

  要确保设备安全,没越来越人 建议用户:

  · 在决定使用智慧人生设备原本,请考虑安全风险。

  · 在购买物联网设备原本,请在互联网上搜索相关漏洞新闻。

  · 在购买新产品时,除了标准漏洞外,最新发布的产品将会中有 尚未被安全研究人员发现的安全问题图片图片。考虑到你例如点,最好的选用是购买将会经历越多次软件更新的产品,而都有最新上市的产品。

  · 确保您的所有设备都安装了最新的安全更新和固件更新。