【新朋友】點擊標題下面藍字「黑白之道」關注
【老朋友】點擊右上角,分享或收藏本頁精彩內容
【公眾號】搜索公眾號:黑白之道,或者ID:i77169
The Pen Test Partners的研究員Ken Munro,在倫敦某場節目裡他演示了如何連上目標的智能水壺,然後竊取你的Wifi密碼。
輕鬆黑掉你的智能水壺
這個實驗再次證明了,在物聯網中配置不當的設備,將對我們造成嚴重的安全威脅。Ken Munro這次分析的是iKettle,這是一種可以用特定智慧型手機應用程式遠程控制的家庭智能水壺。
Ken Munro解釋道,只需要使用一些社工數據、定向天線,以及一些網絡設備,就可以輕鬆獲取iKettle當前連入的Wifi密碼。
Ken Munro的實驗表明了當前物聯網的安全和隱私問題值得注意,物聯網安全是一塊很大的蛋糕。
Twitter用戶是可以通過Twitter來與他們的iKettles進行交流的,他們會@wifikettle,@wifikettle接著會轉發或回復他們的消息。這意味著黑客想要定位一個智能水壺用戶,首先需要搜索該用戶的Twitter帳戶。
如果某個智能水壺沒有做好配置,黑客可以通過wigle.net上面的資料庫來查詢相關信息。這個網站也叫無線地理記錄引擎(Wireless Geographic Logging Engine),它是一個收集全球無線熱點信息的網站。用戶可以註冊服務,並提交相關的信息熱點,如GPS坐標、名稱、MAC地址、加密類型。
黑客想要攻擊自己的目標,他們的目標需要滿足在Twitter談論他們的智能水壺,且使用了無線地理記錄引擎的服務。黑客需要藉此聯合192.com庫裡的數據進行社工查詢,從而獲取到他們需要的定位和IP信息。Munro把相關細節發到了博客上。
現在,黑客就能找到受害人的家裡,然後黑掉他的內部網絡了。
找到你的位置後
Munro說:
「如果你沒有配置好你的智能水壺,黑客很容易找到你家裡,並從你的智能水壺上切入內網。黑客需要設置一個與智能水壺最先連的網絡名稱相同、但信號強不少的熱點。最終讓智能水壺強行切換到你的熱點來。
然後黑客就可以在你家外面坐著曬太陽,用定向天線指著你的房子,通過你的智能水壺切入內網,發送幾個命令讓智能水壺向自己洩露明文的WIFI key。」
觀看視頻地址:
http://player.youku.com/player.php/sid/XMTM2NDMyNjgwMA==/v.swf
Youtube地址如下:https://www.youtube.com/watch?v=GDy9Nvcw4O4
Munro已經通報了有關情況,試圖避免有心人士的非法活動。
研究人員解釋說,在研究過Twitter之後,他注意到可以利用這種手段來找出使用iKettles的人,並找出他們的WPA PSK碼。此後他們就可以很快控制路由,並且實行多樣化的攻擊,如DNS劫持等等。
黑客接著還能將受害人劫持到惡意網站,往他們的設備裡植入惡意軟體,進行網絡釣魚或者嗅探竊密等等。
最後提醒,一定要當心水壺,當心智能家居!
----
要聞、乾貨、原創、專業
關注「黑白之道」 微信:i77169
華夏黑客同盟我們堅持,自由,免費,共享!