【新朋友】點擊標題下面藍字「黑白之道」關注
【老朋友】點擊右上角,分享或收藏本頁精彩內容
【公眾號】搜索公眾號:黑白之道,或者ID:i77169
容易遭到惡意攻擊者利用
通常人們安裝這款可視的門鈴,該門鈴基於「物聯網」環境下,可以通過網際網路在智慧型手機等設備上查看屋外的狀況,同時也可以讓主人為來訪者打開戶外的大門。當有快件送到時你也可以通過這款可視門鈴來進行溝通。
這就意味著該系統內有一個自定義解鎖系統。然而專注拆解物聯網裝置的Pen Test Partners公司卻發現,它們竟有一個洩露主人家Wi-Fi密碼的「漏洞」。Pen Test Partners研究人員解釋道:
「這個門鈴安裝在房子外面,只需擰下兩顆螺絲就可以從牆上拆下,就能碰到背後的橙色按鈕,利用它可以讓門鈴的無線組件切換到AP(接入點)模式。」
可視門鈴如何受到攻擊
如果你想要使用這個可視門鈴,必須要將它連接到無線路由器上面,而可視門鈴想要連接上無線路由器則必須要有無線路由器的無線密碼。可視門鈴內除了必要的電路以及電子元器件之外,還有一塊鋰電池、一個USB充電埠以及一個設置按鈕。
可視門鈴可以固定在戶外,用兩個T4螺絲就可以固定。
取下可視門鈴翻轉過來就可以看見按鈕了。
該無線模塊由Gainspan製造,並且包含了一個Web伺服器模塊,之後攻擊者可藉助手機(以及某個特殊的URL連結)連接至該伺服器,使用瀏覽器訪問時,通過該URL連結可以獲取無線模塊的配置文件權限,而無線模塊的配置文件中,甚至包含了Wi-Fi網絡的SSD和PSK密碼。
到了這一步,攻擊者就可以安心地將門鈴安裝回去,然後消失。相信主人們很信任自家的無線網絡,並且會連接上各種各樣的設備。
而在獲得了網絡的訪問權限之後,惡意攻擊者就能夠肆無忌憚地滲透了,並攻擊已經聯網的設備。
目前在Pen Test Partners告知之後,廠家已經在兩周內發布了固件更新。在此之前,Pen Test Partners的研究人員們還曾搞定過智能冰箱、燒水壺、GoPro相機、智能電視、甚至BB-8星戰玩具。
比特幣贊助打賞地址:13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD
----
要聞、乾貨、原創、專業
關注「黑白之道」 微信:i77169
華夏黑客同盟我們堅持,自由,免費,共享!