本文目录一览:
- 1、如何防止智能家居被黑客侵入的解决 ***
- 2、物联网黑客:如何再次打破智能家居
- 3、智能家居遭黑客入侵,摄像头突然说话,科技生活中有哪些让人细思极恐的事?
- 4、智能家居离不开的ZigBee,真的有漏洞吗
- 5、海尔的智能家居做的怎么样
- 6、智能家居沦为“生活间谍”,“看不见的客人”如何请走
如何防止智能家居被黑客侵入的解决 ***
1、无线传输方面一定要选用ZigBee的智能家居,这样在无线信号的截取上,应该就无法破解(暂时ZigBee信号没有破解过的先例,但是射频可以学习比如汽车锁的破解,红外线可以学习,比如万能遥控器,wifi可以破解这个就不说了,破解wifi信号的新闻太多了)
2、选择一个好的产品,设置比较复杂的密码,比如我们的南京物联智能家居产品,如果输入密码错误就登录不到软件中,如果尝试错误10次,会暂停5分钟之后再尝试,这样,密码应该是尝试不出来的。
物联网黑客:如何再次打破智能家居
随着科技的发展,越来越多的用户开始使用物联网设备了,而且用户在购买这些设备时,往往会选择功能更先进且更丰富的产品。但是从安全社区的角度来看,我们并没有对这些逐渐“渗透”进我们生活的设备给予足够的“关怀”。
虽然近些年来已经有很多安全研究人员对联网设备进行了安全分析,但是安全威胁仍然一直存在,而这些东西肯定会让用户处于安全风险之下。今天,我们将选择一款智能集线器进行分析,这种设备具备多种用途,比如说控制家庭环境中的传感器和设备、用于能源或水利管理、安全监控或用于安全系统之中。
这种小型设备可以从所有与之相连的设备中获取信息,如果当前环境中出现了意外情况,它将会通过手机短信或电子邮件来提醒用户。有趣的是,它还可以连接到本地紧急服务,并根据情况向用户发送警告信息。所以说,如果某人能够入侵这种智能家庭系统并接管家庭控制器的话,这不仅对用户来说是可怕的噩梦,而且还会影响紧急服务的功能。
在我们的分析过程中,我们发现其中存在多个逻辑漏洞,而这些漏洞将成为攻击者可以使用的攻击向量。
物理访问
首先,我们需要检测攻击者从 *** 外部所能利用的漏洞。我们很容易便从网上找到了这款集线器的固件,而且还可以直接下载。所以说,任何人都可以直接对固件文件进行分析,甚至修改固件内容。
我们还发现,其中root帐号的密码存储在一个隐藏文件中,并且使用了DES算法进行加密。可能有些同学知道,DES加密算法并不安全,而且很容易破解。因此,攻击者可以通过暴力破解的方式获取到密码哈希,并破解出‘root’帐号的密码。
为了使用root权限访问设备并修改文件,或者执行恶意命令,物理访问是必须的。
我们拆开了设备的外壳,但这并不是所有攻击者都能够做到的。不过我们的进一步分析表明,我们还有其他的 *** 来获取到设备的远程访问权。
远程访问
在对集线器进行个性配置并检查所有连接设备时,用户可以选择使用移动端App,或通过Web页面来完成。当用户设置完成之后,所有的设置信息都会封装到config.jar文件中,而集线器将会下载并执行这些配置。
但是我们可以看到,config.jar文件是通过HTTP发送的,而设备识别符使用的是设备的序列号。所以,攻击者可以使用任意序列号来发送相同的请求,并下载配置文件。可能有的同学会觉得序列号是唯一的,但是开发人员表示:序列号并没有受到很好的安全保护,而且可以通过暴力破解的形式获取到。为了获取序列号,远程攻击者可以发送特制的伪造请求,并根据服务器端的响应信息来判断当前序列号是否已在系统中注册。
除此之外,我们的初始研究也表明,很多用户会在网上论坛中讨论他们的设备问题,或在社交网站上发布集线器的照片,这些都有可能暴露设备的序列号,就算攻击者无法破解出序列号,他们也可以通过社工技术来尝试一下。
在分析config.jar文件时,我们发现其中包含了设备的登录名和密码,而这些信息足够攻击者通过Web接口来访问用户帐号了。虽然文件中的密码经过了加密处理,但是现在有很多开源工具或开源密码数据库可以帮助攻击者进行哈希解密。最重要的是,用户在设置密码时,设备并不会要求用户输入复杂密码(没有长度和英文数字混合的要求),这从一定程度上就降低了密码破解的难度。
在我们的实验过程中,我们成功访问了目标用户的智能家庭系统,我们不仅获取到了所有的配置(包括IP地址)以及传感器信息,而且还可以修改这些数据。除此之外,jar文件中还包含了用户的隐私信息,因为用户需要上传自己的手机号来接收警告和通知。
因此,攻击者只需要生成并向服务器发送一些伪造请求,他们就有可能远程访问目标用户的智能家庭系统,而这些系统并没有采用任何的双因素身份验证。这样一来,攻击者就可以控制目标用户的“整个家”,比如说开灯关灯、打开水龙头、甚至是打开家门等等。这样看来,智能家庭生活很有可能会成为你的一个噩梦。
注:我们已经将漏洞的详细信息上报给了相关厂商,不过这些漏洞现在还没有被修复。
阳光总在风雨后
除了智能集线器之外,我们还对一款智能灯泡进行了分析。虽然这种产品没有非常严重的安全漏洞,但还是有不少安全问题让我们感到非常惊讶。
智能灯泡可以连接WiFi,随后用户便能够通过移动App来控制它了。因此,用户需要下载移动App(Android或iOS),打开灯泡,连接到灯泡所创建WiFi热点,并给灯泡提供本地WiFi *** 的SSID和密码。
通过App,用户可以开灯或关灯,设置定时器,或修改灯光的亮度和颜色。而我们的研究目标是为了弄清楚攻击者如何利用智能灯泡中的漏洞来获取本地 *** 的访问权。进行了多次尝试之后,我们通过移动端应用获取到了灯泡的固件,而有趣的是,灯泡并不会直接跟移动端应用进行交互。实际上,灯泡和App都需要连接到一个云服务,并通过云服务来进行交互。
我们发现,灯泡会向服务器发送固件更新请求,并通过HTTP协议下载更新文件,这明显是不安全的。如果攻击者处于同一 *** ,中间人攻击就变得轻而易举了。
通过固件侦查以及闪存数据提取技术,我们不仅访问到了固件文件,而且还获取到了用户数据。不过进一步分析表明,设备或内部 *** 中并没有任何的敏感数据。不过,我们发现了目标灯泡之前所连接过的所有WiFi *** 的凭证,这些信息会永久存储在设备的闪存中,而且没有经过加密,即使按下了“reset”按钮也无法将其清除。
以上由物联传媒转载,如有侵权联系删除
智能家居遭黑客入侵,摄像头突然说话,科技生活中有哪些让人细思极恐的事?
智能家居遭黑客入侵,摄像头突然说话?科学生活中有很多让人细思极恐的事。。其实很能够理解。。智能家居嘛。都是被电脑操控的。现在都有电脑机器人了,大家还奇怪摄像头会说话吗!?当大家都奇怪这个智能家居被黑客入侵的时候,我也遇到了被黑客入侵的例子!我家的WIFI密码居然被别人改了?!容我伤心五分钟。。。
现在的社会已经不是我们传统意义上的社会了,以前我们只要靠我们的双手就可以自给自足,但现在更多的是人们怎么样生活呢???那可是运筹帷幄决胜千里之外了哈。很多人靠着脑子在家里面就可以赚钱了,所以也衍生出了很多的新兴科技事物,那么就有一小部分人专门去黑别人,当黑客去牟取暴利,在敌人日渐强大的时候我们也要把自己变强大。得跟得上时社会的步伐,黑客厉害我们就要比他更厉害!
有的人说用苹果手机去拍就可以拍到鬼,我想说的是现在社会是人比鬼更可怕,就像广西那个准大学生去广西旅行结果失踪了的案件,又要知道他不是之一个失踪的了。之前就有一个女教师在同一个地方失踪了。我想这才是更高深莫测的科技吧!生不见人死不见尸凭空消失难道是小说福尔摩斯吗?
现在你只说智能家居招黑客入侵?那么生命遭黑客入侵是什么样的概念??那是活生生的生命啊。我认为应该加强对生命对财产的重视和关注。这才是我们未来的发展之路。
智能家居离不开的ZigBee,真的有漏洞吗
哪种无线通信协议最适合智能家居?ZigBee当仁不让。近年来,为了争夺潜力无限的智能家居市场,
围绕各类无线协议标准的争论不断,但不可否认,ZigBee赚足了眼球,颇受关注和信赖。在智能家居领域,相较于蓝牙、WiFi、Z-Wave、射频等技
术协议,ZigBee一直光彩夺目,鲜有负面消息,可谓有口皆碑,深得人心,并被很多人默认为目前最适宜智能家居的协议标准。
而之所以如此,一方面与ZigBee协议本身分不开,另一方面则要感谢一些企业的大力热捧和宣扬。
——技术层面,ZigBee不是为智能家居而生,却为智能家居而长。智能家居设备需要拥有足够的安全性、稳定性、操作流畅性、较强的设备承载能
力和较低的功耗,而ZigBee都能满足,且满足得很到位,因而即便ZigBee最初主要应用于工业领域,如今也丝毫不影响它在智能家居领域的魅力。
——推广层面,不少知名企业纷纷采纳,一些实力公司大力宣扬。如果说村里某些人使用ZigBee协议了,你可能嗤之以鼻,呵呵不语,更谈不上信
赖,但如果说三星、LG、德州仪器、罗技、飞利浦、小米等知名企业都采用了呢?对ZigBee会不会产生好感?不仅如此,一些企业的大力宣传也很关键,如
ZigBee联盟董事会成员、国内较早采用ZigBee的物联网领军企业物联传感在宣传推广方面会着重强调ZigBee的高级加密算法,使其安全性在消费
者心中根深蒂固,为ZigBee树立良好的口碑,从而推动ZigBee在中国区的发展。
所以,无论从哪个角度来看,ZigBee协议都有足够的理由受到智能家居厂商的欢迎。然而,就在ZigBee联盟宣布三星旗下品牌
SmartThings成为继物联传感后又一位董事会成员之后不足一周,黑帽子大会给泼了一盆冷水,拔凉拔凉的冷水:采用 ZigBee
协议的智能家居设备存在严重漏洞。
话说安全研究人员(Cognosec公司)发现,采用ZigBee协议的设备存在严重漏洞,有多严重呢?黑客有可能入侵智能家居,随意操控联网
门锁、报警系统,甚至能够开关灯泡。按以往的新闻来看,这种事应该发生在WiFi、蓝牙或Z-Wave身上,ZigBee怎么就中招了呢?这其中有
Cognosec公司和“小编”(原文作者)的功劳。
——黑帽子大会(Black Hat
Conference)被公认为世界信息安全行业的更高盛会和更具技术性的信息安全会议,每年都会有不少专业团队和民间高手参加。他们可以尽情地黑一切科
技产品,无需手下留情,当然目的还是为了技术交流和提高企业产品的安全性。而Cognosec公司在这次大会上发表了论文,指出 ZigBee
协议实施 *** 中的一个缺陷。该公司称,该缺陷涉及多种类型的设备,黑客有可能以此危害 ZigBee *** ,并“接管该 *** 内所有互联设备的控制权”。
——若是Cognosec公司倒也不会如此,军功章还有那篇文章作者的一大半,尤其是题目取的非常妙——《黑帽大会爆料,采用 ZigBee
协议的智能家居设备存在严重漏洞》(具体内容请自行百度脑补),读者看不看内容没有关系,只要看一眼标题就明白了:ZigBee智能家居设备存在严重漏
洞。
ZigBee协议智能家居设备存在严重漏洞,看样子ZigBee协议是难逃一劫了,但这种想法是“懒人”的想法,充分证明“标题党”的胜利。向来较为可靠的ZigBee怎么存在严重问题呢?只看标题不行,关键还要仔细看内容。
显而易见,标题就是会让我们快速联想到ZigBee协议有问题的,但实际完全没有ZigBee协议太多啥事儿。这点原文作者和Cognosec公司实际上都在最后给出了说明。
“该漏洞的根源更多被指向制造商生产方便易用、能与其它联网设备无缝协作的设备、同时又要压低成本的压力,而不是 ZigBee 协议标准本身的设计问题。”——这是作者的分析。
“我们在 ZigBee
中发现的短板和局限是由制造商造成的,各家公司都想制造最新最棒的产品,眼下也就意味着能够联网。灯泡开关这样的简单元件必须和其它各种设备兼容,毫不意
外的是,很少会考虑安全要求——更多的心思都放在如何降低成本上。不幸的是,在无线通信标准中最后一层安全隐患的严重程度非常高。”——这是
Cognosec公司研究人员的汉化版原话。
其实,不难发现,向来可靠的智能家居协议ZigBee,并没有给黑帽子黑掉,而是被一些急功近利的制造商“坑掉了”。那么现在问题又来了,除却人为不作为因素(故意忽略标准安全性),ZigBee协议被攻破的几率有多大呢?
“在zigbee的通用安全级别中,一般有两个key
。一个是信任中心的key。另一个是实际进行 *** 传输数据时的 *** key。最终想破解zigbee *** ,必须要获取后者16个字节强密码 *** key
。由于zigbee 采取的是AES 128加密算法。在不知道这个 *** key的情况下,想暴力破解目前没有可能。也没有破解先例。
暴力破解的速度是极其低下的。一般只有300key / s,就算采取所谓的GPU加速,速度也不过是10000 key / s,对于一个8位数字 字母 字符的复杂密码破解时间都需要2900年!即使采用100台分布式,也需要29年!
何况zigbee 的key 是16个字节强密码。”
上面是一名来自对ZigBee协议安全性拥有足够信心的物联传感的物联网安全专家给出的答案。不要问为什么是这样排的,原采访邮件中的内容就是
这样的,不过足可以说明只要前期工夫做的好,黑客想破解ZigBee智能家居设备,难!至于“采用 ZigBee
协议的智能家居设备存在严重漏洞”,有一个前提条件:制造厂商不负责或技术不到位。
最后一个问题。近日,国民新晋老公宁泽涛在第16届游泳世锦赛夺冠了,项目是男子100米自由泳,创造了亚洲人神迹,突破了黄种人极限,影响力
被认为堪比刘翔首夺110米跨栏。显然,小鲜肉宁泽涛具备了100米自由泳夺冠能力,但是倘若给他安排80米的赛道,没有夺冠,难道能说明他100米不
行?
假如ZigBee有100的安全设置手法,一些厂商只用80或只能做到90,结果设备被破解了,就是ZigBee协议安全性就有问题?这答案或许与最后一个问题的答案类似吧。
海尔的智能家居做的怎么样
海尔的智能家居还是很不错的,在全球来看综合分数一数二,不要迷信什么进口垃圾太多!
智能家居沦为“生活间谍”,“看不见的客人”如何请走
家里的智能扫地机器人在你眼皮底下工作,“看不见的客人”通过内置的感应摄像头却在看着你……近日,韩国某品牌的智能扫地机器人被曝存在安全漏洞,黑客可以远程操控其在用户家中自由行动,窥探个人隐私。
原本有助于提升生活质量的“智能家居”沦为生活中的“间谍”,这着实是一件令人感到震惊的事情,而“家里的隐私”被“智能家居”设备给泄露,也更会令人感到有些毛骨悚然。智能家居在给我们带来更舒适生活体验的同时,它的安全性越来越让人们担忧。
这里有一款常见的家用智能摄像头,目前这个摄像头是处在工作模式中,可以看到手机上显示的实时画面。现在我来给大家演示一下如何利用漏洞和弱口令,入侵进摄像头并在电脑上播放摄像头所拍摄的画面。
不到一分钟时间,他成功入侵摄像头,并将画面传输进笔记本电脑里。
我们看一下本地文件夹,其中这三个文件就是传输过来的录像数据。
随后,这名工程师又演示了一个智能门锁的破译过程。
某厂商的智能门锁,他支持用门禁卡开锁。当我们把门打开后,我们的恶意攻击者,尝试使用手机伪造的认证卡认证的,是认证失败的状态,但当手机近距离接触这个门禁卡,在我们的钱包里,恶意攻击者在我跟前接触过这张卡,就可以成功复制我这张卡上的信息,然后利用这张卡上的信息把门锁打开。
记者在qq搜索栏,输入摄像头破解,跳出了众多相关聊天群,随机添加几个,发现里面的内容涉及智能家居中的隐私,时不时会放出一些号称他人家中摄像头拍摄的画面。有网友还主动添加记者为好友,询问是否需要扫描软件,并称这些软件可以攻破摄像头。
一名 *** 卖主还主动给记者发来一段视频,视频教授记者如何利用软件入侵他人家中的摄像头。
假如说知道序列号和密码,如果密码没改过,我就可以登录进去。
在一些qq群内,大量的ip地址会被群主作为聚拢人气的“礼物”,分享给网友。在这群内,每天都有新增文件,包含三百到五百个IP地址,每份都被下载上百次。
这种软件是通过什么原理来扫描相关数据,获取IP地址的呢?
国家互联网应急中心高级工程师高胜:这其实就是一个扫描器,它使用预先设定的账号或弱口令密码,在网上进行扫描,从而可以发现存在漏洞的一些摄像头的IP地址,所使用的弱口令,一般是厂商通用的弱密码,或者是简短连续的数字和字母。
实际上,不光是家用摄像头,在用于城市管理、交通监测的公共摄像头,也存在利用弱口令就能打开的问题。国家质检总局曾开展了智能摄像头质量安全风险监测。风险评估专家认定,这些智能产品的风险等级为高等风险。
高等风险就意味着整个产品的信息安全是非常严重的,目前正在投入使用的这些摄像头都存在相当大的信息安全隐患。
国家质检总局共从市场上采集样品40批次,结果表明,32批次样品存在质量安全隐患。正是这些技术漏洞,才让智能家居设备频遭入侵,而在这背后是一个逐渐形成的盗卖个人隐私黑色产业链。
应尽快出台智能家居产品的安全规范,进一步加强对市面上在售产品的安全性测试,探索建立企业隐私保护的信用机制。
家电设备智能化和 *** 化已成大势所趋,企业应注重研究在智能化道路上如何保护好用户的个人隐私,而不是一味强调甚至夸大功能性。 *** 安全专家同时提醒用户,在选购智能家居设备时,应尽可能选择大品牌和大厂商生产的正规产品。
对消费者来说,能做的就是密码强度要高。就是自己用的日常那些账号、密码的密码强度要高。不要使用那些通用的密码,比如在一个小网站的一个账号密码是什么, *** 、 *** 密码也是什么。这样通用密码会造成一旦你那个小的网站安全性比较弱,帐号密码泄漏了以后。可能会影响到所有你的很关键的一些账号密码。比如说 *** 、微信、支付宝、 *** 、银行卡密码。
“智能家居”是未来社会发展趋势,作为新的产业、新生事物,除了便利,确保其安全性显然更重要。既然在生活实践中已经发现“智能家居”设备存在不少的漏洞,就应当及时堵上。企业在研发生产“智能家居”设备时,要提高其安全性设计,国家有关部门也应当尽快出具“智能家居”设备的安全标准,达不到安全标准的“智能家居”设备应当禁止入市。同时,相关职能部门也应当严厉打击那些利用“智能家居”设备进行违法活动的新型犯罪,不能让其形成气候和灰色市场。