從掃地機器人到燈泡,物聯網設備存在許多資安隱憂已經不是什麼祕密,最近有研究員也瞄準上最新的對象:智慧咖啡機。
試著想像當你一早走入廚房,拿起杯子想沖杯咖啡提神,此時咖啡機突然發出刺耳的蜂鳴聲,噴灑熱水並不斷旋轉研磨機,螢幕上顯示著惡魔的頭像,寫著:想要回你的咖啡機?先繳付贖金到以下帳戶。
這正是 Avast 研究員 Martin Hron 近期對價值 250 美元 Smarter 推出的智慧咖啡機所做的嘗試。儘管綁架咖啡機聽起來毫無意義,但 Hron 只是希望透過此次實驗證明一些觀點。
Hron 表示,有網友提出一種說法,即針對 IoT 設備的威脅不僅是路由器問題或暴露於公開網路,而是 IoT 設備本身就很脆弱,即使不倚靠前兩種手段也能輕鬆入侵。
為了測試這項觀點是否正確,Hron 花了一週的時間進行逆向工程研究,詳細流程已在 Blog 文章中講述。簡而言之,Hron 發現咖啡機在 Wifi 連接上與韌體更新程式的突破口,之後編寫 python 腳本模仿更新程式來實施修改後的內容,之後便達成開頭所說的勒索贖金情況。
Hron 表示,最初他曾想證明設備可以被用來挖礦,考慮到 CPU 和結構是可行的,但是在 8MHz 的速度下,挖礦的產值基本可以被忽略不計,最後才決定以勒索軟體形式進行,而這項實驗也證明,同樣情況可能會發生在所有的設備。
「這是一個很好例子來說明開箱即用產品的問題。你不需要設定任何東西,而供應商通常也不會考慮這一點。」
當然,使用者可以簡單透過拔掉插頭來暫時解決問題,而綁架也有一些非常明確的限制存在,但其中隱藏的意義更令人擔憂。
Hron 指出,透過這種作為,攻擊者可以使智慧設備無法接收未來官方提供的修補程式來修復漏洞,也可以在不觸發警告下攻擊同一網路上的其他設備,家電設備的生命週期動輒數十年,但 IoT 設備廠商又計畫維護軟體多久呢?
「……在 IoT 設備普及和不良維護態度下,我們正在打造出一支被遺棄、容易受攻擊的隊伍,這些設備可能被濫用,背用來駭入網路、洩漏數據、使用勒索軟體攻擊或 DDoS。」
(首圖來源:pixabay)
September 29, 2020 at 07:38AM
https://ift.tt/2GfIPcA
想喝咖啡先繳贖金,研究員綁架智慧咖啡機揭IoT 設備資安隱憂 - 科技新報 TechNews
https://ift.tt/3fDzoQL
No comments:
Post a Comment