福利社午夜影院_在线激情视频_国产精品一区二区三_久草视频观看_亚洲综合色视频在线观看_欧美亚洲视频

　　隨著物聯網技術和相關設備逐步進入大眾的視線當中，其存在的安全隱患也成為了外界熱議的話題。最近，應用安全公司Veracode的研究者就對6款智能 家居 設備進行了安全測試，結果發現其中5款都存在嚴重安全問題。

　　Veracode所測試的這6款設備包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多種家庭自動化設備和傳感器的幫助下——包括門鎖、開關和電源插座——所有這些設備都可通過互聯網實現遠程控制和監控功能，它們中的大多數還可連接至基于云端的服務，用戶則可通過網頁端口或智能手機應用與之進行交互。

　　Veracode并沒有試圖尋找這些設備固件當中的漏洞，而是對它們的工作方式及使用的通訊協議進行了分析。安全專家們查看了這些設備的前端(用戶和云服務之間)和后端(設備和云服務之間)連接，在前端連接方面，他們發現只有SmartThings Hub執行了強密碼，而Ubi甚至沒有對用戶連接進行任何加密，這無疑給中間人攻擊創造了可能。

　　而在后端連接這一塊，這些設備的表現更加糟糕。Ubi和MyQ Garage沒有執行加密，沒有提供對抗中間人攻擊的必要保護，對于重放攻擊也毫無防御力。此外，Ubi也沒有對敏感數據進行適當的保護。

　　除了SmartThings Hub之外，這些設備都不具備中間人攻擊保護，因為它們要么完全沒有使用安全傳輸層協議(TLS)加密，或是沒有使用適當的證書驗證執行TLS加密。

　　這種情況表明，廠商在產品設計階段都是假定它們未來所運行的網絡環境都是安全的，但事實顯然并非如此。從過去幾年里的安全研究中我們可以看出，如果說有什么東西的安全性比物聯網設備還要差，那就是消費類路由器了。安全專家經常會在路由器當中發現嚴重的安全漏洞，它們中的大多數可讓黑客執行中間人攻擊，也導致了數以百萬計的路由器被用于大規模的攻擊。

　　物聯網廠商對于家庭網絡安全的錯誤信任也反映在了旗下產品暴露于這些網絡中的調試接口和其他服務。

　　Veracode的研究者發現，Wink Hub會在80端口運行未認證的HTTP服務，Wink Relay會運行可通過網絡訪問的ADB服務，Ubi運行ADB和VNC(遠程桌面)服務時都不需要密碼，SmartThings Hub所運行的Telnet服務器受到了密碼保護，MyQ Garage所運行的HTTPS服務會暴露基本連接信息。

　　在Wink Relay和Ubi這兩款設備身上，暴露的ADB接口可向攻擊者提供root權限，讓他們得以在設備上執行任意代碼和命令。

　　在云端服務方面，Veracode的研究者雖然沒有直接對這些服務的安全性進行分析，但他們還是考慮到了幾種可能出現的情況，比如如果攻擊者獲取到了用戶賬戶、截獲了與之接近的連接、或是徹底沖破云服務會發生什么。他們得出的結論是，這些情況會導致嚴重程度不同的安全問題，輕則暴露敏感信息，重則致使設備徹底被控制。

　　廠商并沒有清楚地向用戶解釋這些設備對于云服務的依賴，但他們的確應該如此——因為并不是每一位用戶都意識到，他們并不是直接和設備進行交互的。當使用配套的移動應用時，控制信號實際上需要通過由第三方運營的服務才會被傳遞到設備當中。這同時也意味著，需要獲得安全措施保護的不僅僅是硬件設備本身，還包括網絡服務。

　　Veracode根據這些分析結果得出的結論是，這些測試設備的設計師“沒有足夠重視安全和隱私，從而把消費者置于網絡攻擊或物理入侵的風險當中”。

　　舉個例子，Ubi設備所收集的信息可讓不法之徒了解到你家里是否有人(根據環境噪音或燈光)。此外，通過利用Ubi或Wink Relay所含的漏洞，攻擊者可以使用設備的麥克風進行竊聽。

　　但所幸的是，不同于路由器這種設備，許多物聯網設備都具備自動升級的能力。因此當發現問題時，廠商可以輕松地推送修復升級。