|
随着智能家居这个概念被提出以来,互联网+家居的产品也愈来愈多。其中最普遍的就是智能门铃摄像头。它作为和传统的摄像头差不多,不过可以透过连接到WiFi上,让用户即便在外也能实时看到监控情况。  图片来源:The Hacker News 不过也正是因为连接到Wifi上,所以这类装置还是有一定的风险被入侵。而一旦黑客得手后就可以获得用户家里的Wifi密码,从而进行攻击。国外的网络安全机构Bitdefender正正就发现亚马逊旗下一款名为Ring Video Doorbell Pro的智能门铃有这么一个漏洞。  图片来源:The Hacker News 这个漏洞源自一个用户对门铃进行设置时,产生的一个不受保护的无线接入点。这个接入点原意是让用户手机上的相门铃应用可以直接连接到门铃里。更为重要的一点是,当用户在分享自家Wifi的密码给门铃时,整个过程是通过不安全的空白HTTP来进行的。 因此,一个在用户住所附近的黑客,可以在用户设置门铃时,趁机连接到这个不受保护的无线接入点,以中间人攻击(Man-in-the-Middle Attack)的方式来偷取用户的WiFi密码。  图片来源:The Hacker News 那可能有人会问了,「既然是要在设置模式下才能偷取密码,那设置完之后不就安全了?」其实不是,因为黑客可以通过不停向门铃发送取消验证封包,使门铃下线并因此使门铃App向用户发起重新设置请求。  图片来源:The Hacker News 黑客拿到这个WiFi密码后,可以直接入侵用户家里所有连了WiFi的装置、拦截网络数据,以及存取在本地储存的敏感数据。 Bitdefender早在6月中已经向亚马逊通报了此一发现,但直到最近亚马逊才推出用于修复此漏洞的更新。 如今众多家庭都安装了智能门铃的情况下,无疑是多了一份黑客入侵的风险。目前似乎暂未发现国内有智能门铃被入侵的报导,但为了安全着想,广大用户最好还是时常更新他们的门铃,免遭损失。 |
|
|
