智慧城市让生活更美好!

智能灯泡攻击案例分析,洞悉背后的葡京娱乐安全

  

 

  葡京娱乐技术正在渐渐融入我们的生活,例如智能灯泡、智能家电、烟雾传感等越来越多的葡京娱乐设集成到智能管家APP。这些智能设备在为我们的生活带来极大便利的同时也带来新的网络安全风险。

  本文以一款智能灯泡为例,解析黑客的攻击思路,阐释葡京娱乐设备存在的网络安全隐患。

  研究对象:某品牌智能灯泡,市场占有率高,用户可以通过智能管家APP远程控制灯光颜色和熄灭。

  泄漏登录信息

  通过对网络流量的分析,我们发现智能手机应用程序主要使用普通HTTP请求与云中的后端进行交互,只有少数请求(例如注册新用户或登录时)通过HTTPS加密发送,而一些未加密的请求包含许多私密信息。

  例如,当用户决定更改灯泡的命名时,将发送未加密的POST请求,其中包含用户的电子邮件地址和未加密的密码MD5哈希值。

  这意味着网络路径中的任何人都可以嗅探此流量并破解密码哈希。倘若密码不是很复杂,攻击者很有可能获取到用户密码。通过这些数据攻击者即可登陆用户帐户并接管所有灯泡。

  更糟糕是,此应用程序不提供更改密码的选项,一旦用户设置密码将被锁定,安全性堪忧。

  

图1. POST请求泄露私人信息

 

  在以往的研究中,我们发现众多葡京娱乐设备和应用程序仍然使用未加密的流量。

  需找其他受害者

  该产品的后端的API允许通过发送设备MAC地址来查找与其相关联的用户帐户。但缺乏验证机制确认查询发起方是否是与特定设备实际关联。因此,攻击者只需要一个通过身份验证的活动会话,即可猜测或暴力破解目标设备的MAC地址。

  

 

  图2.设备枚举泄漏电子邮件地址

  此方法允许攻击者枚举供应商的所有可能的MAC地址,并找到任何已激活且可远程控制的灯泡。之后通过执行简单的GET请求,攻击者可以通过明文接收唯一的ID号和所有者的电子邮件地址。这些信息可被利用于进一步的攻击,例如发送垃圾邮件,或攻击灯泡本身。

  “熄灭”

  一旦找到可远程控制的设备,攻击者就可以与设备进行交互。与枚举缺陷类似,此操作不需要密码,只需要经过身份验证的会话和设备的MAC地址。

  按照设计灯泡可以由多个用户控制,因此也可以链接到多个账户。建立连接后,攻击者可以通过自己的账户完全控制灯光,就像在自家一样。

  供应商先前已将应用程序升级为需要安全令牌的更安全的API函数。遗憾的是,旧API仍在接受不安全的请求。

  反思

  通过此案例我们发现葡京娱乐仍然存在许多简单的安全漏洞。利用这些漏洞,攻击者不需要复杂或花哨的攻击方式即可达到目的。制造商简单的设计错误足以将用户的私密数据和设备暴露至互联网。

  圣诞将至,黑客攻击控制智能灯泡可能会给用户的平安夜带来小小的Surprise,但倘若类似的问题发生在工业物联乃至智慧城市中呢?

  缓解措施

  购买此类葡京娱乐设备的必须了解面临的潜在风险。

  安装时更改所有的默认密码

  使用具有强密码的专用帐户来设置设备

  每当发布新版本时,立即更新固件和APP

  如无必要限制设备接入互联网

  验证设备的配置是否符合您的需求

  关闭未使用或不需要的功能或服务,如远程控制。

  

上一篇:ICONICS发布IoTWorX云管理最新解决方案

下一篇:IoT安全课堂第4讲:无线电信号逆向与伪造