《 IoT 物聯網安全趨勢 》智慧型燈泡遭駭使得 Wi-Fi 密碼遭竊

就在智慧型電視遭駭客入侵引起大家更加關注物聯網 (Internet of Things,簡稱 IoT) 的議題沒多久後,靠群眾集資成立的新創公司 LIFX 所生產的連網燈泡也被發現有可能洩漏 Wi-Fi 網路的密碼。

這款「可變換顏色的省電 LED 燈泡」會經由標準的「6LoWPAN 」網狀網路 (mesh network) 廣播 Wi-Fi 密碼,這種網路是最適合低功率無線裝置 (如燈泡) 的一項通訊標準。

白帽駭客發現了一個可讓其進入主燈泡以及其他相連燈泡的漏洞。駭客接著又在屋主不知情的狀況下,向網狀網路索取該 Wi-Fi 網路的詳細資料。透過這個方法,駭客就能在離其中一個燈泡 30 公尺的距離內取得其加密後的密碼。

在偷到 Wi-Fi 密碼之後,當然還需一定的技術能力才能解開密碼,不過對研究人員來說不是問題。LIFX 已經修正了這個可讓駭客取得密碼的漏洞。該公司在一篇部落格當中證實他們已更新了該款燈泡的韌體:

「此問題已經獲得解決,韌體更新請至這裡下載。」

「在極少的情況下,此安全問題可能會經由無線網狀網路暴露網路組態的詳細資料,駭客必須拆開燈泡,以反向工程破解程式除錯連線及韌體,然後拿著特殊專用裝置到您 Wi-Fi 網路的訊號範圍內 (而非從網際網路),例如,帶著複雜的技術性設備躲在您的花園中。

就我們我知,目前並無任何 LIFX 用戶受到影響,此外,我們也一直建議使用者隨時更新到最新的韌體和 App 程式。」

LIFX 安全性更新,2014 年 6 月 29 日

不過,這項及其他針對智慧型裝置的概念驗證攻擊,卻可以當成萬物聯網安全性的教材。今天,許多產業都已投入全新智慧型裝置的開發,而智慧型裝置也正要開始獲得大眾接納。在這關鍵時刻,趨勢科技技術長 (CTO) Raimund Genes 希望提醒萬物聯網安全的首要負責人員:「眾所皆知,凡有漏洞的裝置就隨時可能遭到駭客攻擊。例如,路由器隨時都處於攻擊的危險當中,而且也很可能輕易就能破解。智慧型裝置廠商務必了解,其產品也很可能成為目標。」

◎原文出處:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/ioe-insights/smart-lightbulb-hack-steals-wifi-password

更多文章,請至萬物聯網(IoE ,Internet of Everything)中文入網站

 

=======

2016/11/9 更新

跟據 IT Home報導,研究人員示範利用汽車或無人機,以蠕蟲入侵智慧燈泡控制明滅,如以下影片: