日前研究人員在 Amazon 的 Ring Video Doorbell Pro 智慧門鈴當中發現了一個可能讓駭客取得網路或 Wi-Fi 登入憑證的漏洞。雖然 Amazon 在今年 9 月就已修正了這項問題,但此漏洞最近才被揭露 。
Ring Video Doorbell Pro 是一款能讓家庭使用者過濾訪客並從遠端監控家中狀況的家用保全裝置。然而,駭客可經由該漏洞來取得家用 Wi-Fi 網路的登入憑證,連帶引起其他網路攻擊。
根據研究人員指出,該裝置在第一次連上區域網路時的方式存在著一項資安漏洞。他們發現在裝置的初始化過程中,其搭配的智慧型手機應用程式會將無線網路登入憑證傳送給裝置。應用程式會先建立一個無密碼保護的無線存取點,接著將前述網路登入憑證透過 HTTP 方式傳送,而非使用 HTTPS 加密連線傳送,因此很容易遭駭客攔截。
在攻擊這項漏洞時,駭客可先找到使用此裝置的家庭,然後故意製造一些狀況讓使用者誤以為智慧門鈴發生故障,再誘使他們重新設定裝置,最後再趁著這個機會攔截網路登入憑證。
研究人員指出,駭客可用的一種方法就是不斷發送「解除認證」( deauthentication) 訊息給裝置,讓裝置被無線網路剔除。這過程需要一點時間,但最終應用程式就會看到裝置已經離線。使用者當然可以透過應用程式重新將裝置與網路連線,但最終仍會失敗而必須重新設定裝置。
智慧裝置的資安風險
一旦經由這項漏洞駭入網路之後,駭客就能繼續入侵網路其他裝置,造成各種潛在問題。證明了裝置漏洞不僅會帶來風險,更可能引來嚴重的後果。
每個智慧裝置都會同時帶來方便性和潛在資安風險,只不過這些風險可能尚未被發現。另一個類似的案例是 2017 年趨勢科技研究人員發現有些使用預設密碼的 Sonos 品牌喇叭暴露在網際網路上。
延伸閱讀:《IOT 》馬桶不停沖水!掃地機器人監視用戶!…..九種智慧家庭裝置可能面臨的威脅
當一個環境內的裝置越來越多,裝置的功能連動與組態設定將變得難以管理,形成許多可能遭到攻擊的漏洞。而趨勢科技的另一份研究也指出,複雜的物聯網 (IoT) 環境會帶來許多看不見的資安風險,例如讓駭客能夠擴大衝擊,或獲取更大利益。
使用者與 IoT 相關人員皆應負起智慧裝置安全的責任,並且保護裝置所在的環境。裝置製造商應該在產品開發時便將資安融入設計當中,同時要迅速解決被發現的漏洞。至於使用者的責任,則是安全地使用裝置,廠商若釋出修補更新,便應立即套用。
[延伸閱讀:The First Step in Effective IoT Device Security]
趨勢科技 Smart Protection Network™ 解決方案內建了網路防護能力,可保護所有聯上家庭網路的裝置,防範網路攻擊。趨勢科技 Smart Home Network 憑藉著趨勢科技豐富的威脅研究經驗與業界領先的深層封包檢查 (DPI) 技術,提供智慧型網路服務品質管理 (iQoS)、家長監護、網路防護等功能。
原文出處:Amazon Patches Ring Video Doorbell Pro Vulnerability That Threatens Network Security