針對連網咖啡機的概念驗證攻擊,揭開 IoT 裝置的安全隱憂
試著想像一個情景:你早上醒來,走到廚房想要喝一杯你剛買不久的連網咖啡機自動煮出來的香醇咖啡,結果你發現咖啡機不但沒有幫你煮咖啡,還變得非常奇怪,螢幕上顯示惡魔圖示,功能亂跳,熱水不停噴出;接著螢幕上顯示你的連網咖啡機已經被入侵,必須匯款到指定帳號才能回復原狀...
上面的情景看起來像是駭客入侵的 B 級電影劇情,不過卻有可能在現實生活中實現。由於 IoT(物聯網)裝置的普及,現在幾乎已經是「萬物可連網」的世界,不過對於 IoT 裝置的安全性卻少有廠商著墨,要是有心人士發現漏洞,那麼咖啡機發瘋的情景可能還是算好的,最糟的狀態下用戶的所有隱私都會外洩。
安全機構 Avast 研究員 Martin Hron 最近針對 Smarter 品牌連網咖啡機製作了一個概念驗證(proof-of-concept)勒索軟體,它可以偽裝成韌體更新檔案用來更新咖啡機的軟體,一旦更新之後,他就可以遠端操控咖啡機,包括打開加熱盤、噴出熱水、讓磨豆機運轉;之後在螢幕上秀出勒索訊息;使用者除了把咖啡機的插頭拔掉之外,完全無法操控。
▲ Smarter 連網咖啡機的勒索病毒概念驗證影片。
為何用 Smarter 這個品牌的咖啡機當作攻擊對象?那是因為舊款的第一與第二代 Smarter 連網咖啡機中,廠商並沒有在機器內加入任何形式的保全措施,等於門戶大開,因此很容易就能入侵;而雖然 Smarter 在第三代咖啡機上已經修正了這個問題,但前兩代的咖啡機還是有不少正在使用,造成安全隱憂。
而雖然這個所謂「咖啡機勒索病毒」只是概念驗證,並沒有真正針對連網咖啡機的病毒,也沒有人因為這樣被勒索得逞;但這個演示也讓外界得知物聯網安全性的重要。
引用來源:Slashgear
上面的情景看起來像是駭客入侵的 B 級電影劇情,不過卻有可能在現實生活中實現。由於 IoT(物聯網)裝置的普及,現在幾乎已經是「萬物可連網」的世界,不過對於 IoT 裝置的安全性卻少有廠商著墨,要是有心人士發現漏洞,那麼咖啡機發瘋的情景可能還是算好的,最糟的狀態下用戶的所有隱私都會外洩。
安全機構 Avast 研究員 Martin Hron 最近針對 Smarter 品牌連網咖啡機製作了一個概念驗證(proof-of-concept)勒索軟體,它可以偽裝成韌體更新檔案用來更新咖啡機的軟體,一旦更新之後,他就可以遠端操控咖啡機,包括打開加熱盤、噴出熱水、讓磨豆機運轉;之後在螢幕上秀出勒索訊息;使用者除了把咖啡機的插頭拔掉之外,完全無法操控。
▲ Smarter 連網咖啡機的勒索病毒概念驗證影片。
為何用 Smarter 這個品牌的咖啡機當作攻擊對象?那是因為舊款的第一與第二代 Smarter 連網咖啡機中,廠商並沒有在機器內加入任何形式的保全措施,等於門戶大開,因此很容易就能入侵;而雖然 Smarter 在第三代咖啡機上已經修正了這個問題,但前兩代的咖啡機還是有不少正在使用,造成安全隱憂。
而雖然這個所謂「咖啡機勒索病毒」只是概念驗證,並沒有真正針對連網咖啡機的病毒,也沒有人因為這樣被勒索得逞;但這個演示也讓外界得知物聯網安全性的重要。
引用來源:Slashgear
廣告
網友評論 0 回覆本文