即使是一顆毫不起眼的燈泡也可能被用來駭入整個網路、干擾作業或竊取資料,不論家庭、企業、甚至是一整個都市都難以倖免。
研究人員利用 Philips Hue 智慧燈炮的漏洞成功滲透網路,研究人員使用的是 ZigBee 通訊協定的 CVE-2020-6007 漏洞,可讓駭客從遠端在智慧燈泡上安裝惡意的韌體,並將惡意程式散播至其他物聯網 (IoT) 裝置。
為了發現這項漏洞,Check Point 研究人員以先前一份示範如何操控智慧燈泡的研究為基礎,然後進一步找出如何利用先前找到的漏洞來駭入其他裝置。
繼續閱讀【2020 年 7月 7日,台北訊】 智慧家庭時代來臨,越來越多的智慧連網裝置可以透過Wi-Fi連結至同一個家庭網路。根據全球網路資安解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 日前調查註1,台灣家戶平均所擁有的智慧連網裝置已高達10台之多,意味駭客將有更多機會透過裝置漏洞、破解裝置預設密碼等方式入侵家用網路,窺探用戶隱私,造成財產損失或導致重要資訊外洩。
為了全方位守護民眾的數位家庭生活,趨勢科技宣布推出全新「智慧網安管家 Home Network Security」,幫助智慧家庭網路和連網裝置免遭駭客攻擊與隱私外洩風險,輕鬆管理家中所有連網裝置,為消費者打造最安全無虞的家庭網路環境!為慶祝智慧網安管家上市,趨勢科技祭出全面防護優惠方案:凡購買智慧網安管家,前100名購買者可享有 $700元7-11禮券。
繼續閱讀
智慧家庭可能面臨的各種威脅顯示出物聯網裝置被入侵不僅會影響使用者的舒適性和便利性,還可能會影響他們的安全。
智慧家庭由連接物聯網(IoT ,Internet of Thing)的各種不同裝置所組成,每個裝置都具備特定的功能。無論這些裝置彼此間有多麼不同,它們的目標都是為了串起工作流程並簡化使用者的生活。它們共同營造出舒適便利的誘人形象。但正如這些裝置為家庭生活提供了革命性的改變,它們也為家庭安全帶來了新的複雜性。
我們的報告「物聯網裝置安全防護:鎖定智慧家庭會面臨的風險和威脅」詳細介紹了可能發生在智慧家庭的各種攻擊場景,並且探討了物聯網裝置可能遭受攻擊的不同層面。我們會概述各種智慧家庭裝置可能面臨的攻擊場景並提出安全解決方案。
智慧家庭讓使用者能夠連接住家內的各個角落,甚至能夠從遠端進行存取。例如,使用者可以用行動應用程式或網頁介面來即時監控家裡。同時還能遠端進行某些操作,如用智慧型玩具與孩子互動或為可信賴的朋友打開智慧門鎖。
智慧家庭裝置還提供了自動化和連結功能,讓使用者更方便地度過每一天。例如,到了早上,智慧型咖啡機在使用者起床工作前就開始泡咖啡。當使用者進入廚房,如果尚未訂購所需食物,智慧型冰箱就會提醒他們存貨不足。當使用者走出門,智慧門鎖會在他們離開後自動上鎖。現在房內沒人了,智慧型掃地機器人就會開始進行打掃工作。
當使用者對智慧家庭內的所有裝置有良好的控制能力及能見度時,上述以及更多的場景就會出現。但如果駭客在使用者不知情下取得了控制能力和能見度,就會出現問題。
存在漏洞、不當設定以及使用預設密碼都可能讓駭客得以入侵智慧家庭系統內的裝置。一旦某個裝置被入侵,駭客就可以根據裝置功能來採取一連串的動作。我們在底下舉例說明一些可能的場景。
從前門開始,可能有一道智慧門鎖。一旦被入侵,智慧門鎖可以讓駭客控制誰能進出房子。那駭客最可能做的就是讓入侵者或同夥進入房子,另一個可能的行為就是將住戶鎖在門外。
客廳裡也有幾個裝置可被設定。其中一個是智慧喇叭,這是語音啟動家庭自動化命令的管道。一但被入侵,智慧喇叭這樣的語音啟動裝置可以讓駭客發出自己的語音命令。
在廚房裡,如果智慧冰箱和智慧型咖啡機等裝置被入侵也會造成問題。駭客可以設定智慧冰箱來註冊錯誤的到期日期或在線上訂購大量存貨。即使是智慧型咖啡機,如果被駭客下指令不斷泡咖啡也會造成極大的不便。
現在智慧型裝置甚至會出現在浴室裡,最常見的是智慧馬桶。智慧馬桶具有不同的功能,例如感應後用適量水量來沖馬桶,這對使用者來說很有幫助。但駭客也可以讓這裝置發狂,像是不停重複地沖馬桶或讓不斷噴水。
入侵的裝置不同也能夠針對家庭不同的成員。對兒童來說,智慧型玩具被入侵會帶來特別的風險。例如,駭客可以直接跟孩子講話,或是用玩具安靜地記錄孩子的活動。智慧型玩具出現漏洞的案例說明了即使讓兒童使用夠安全的物品,一旦被入侵也會造成傷害。
智慧燈泡能夠被裝在房子的各個角落,從地下室到頂樓。可以根據時間或移動偵測或環境光亮度來自動開啟或關閉。但駭客也可以用這些看似簡單的裝置來驚擾住戶,在不當的時候開啟或是做其他行動。
智慧型掃地機器人這樣的裝置可以在房間內移動,可能為駭客提供關於房間佈局的資訊。駭客可以利用這資訊來規劃進一步的行動。
智慧型裝置連接點對駭客來說也很有用。駭客可以入侵家庭路由器,為自己的需要來重新導向或修改連線。這代表駭客能夠對連到智慧家庭網路的任何東西為所欲為,就跟真正的擁有者一樣。
儘管我們對入侵及其後果的討論主要集中在智慧家庭,但任何部署有漏洞或設定不良裝置的地方都有著相同的問題。物聯網系統被攻擊成功的後果取決於使用系統的環境類型。
在企業環境裡很容易就可以看到上面提到的許多(如果不是全部)裝置。例如,辦公室廚房或休息室可能有智慧冰箱和智慧型咖啡機。企業當然也適合裝智慧燈泡,特別是當大規模部署時還可以幫助企業節省能源。
行動和穿戴式智慧型裝置讓物聯網安全問題變得更加複雜,因為這些裝置遍佈企業和家庭環境,甚至讓許多公司更新了「自帶裝置(BYOD)」政策。這些裝置(如智慧手錶和智慧瑜伽墊)通常由使用者帶到辦公室,然後在下班時帶回家。如果BYOD政策較弱或未採取足夠的安全措施來防止此類威脅,則出現在某一環境內的惡意軟體感染可能會擴散到另一個環境。
以上場景不僅展示了駭客可以利用智慧型裝置做些什麼,還展示了物聯網融入人們生活的程度。顯而易見地,住家的各個地方都會有合適的物聯網裝置可用,從客廳和廚房到浴室和客房。這樣深深融入的人們生活,使得駭客會想嘗試去攻擊物聯網,也對使用者造成很大的影響。可以說,沒有哪個網路威脅發生在智慧家庭時更具侵入性和個人性。
因此,使用者更需要在智慧家庭裡保護物聯網裝置。以下是一些使用者可以採取的安全措施,保護智慧家庭免受物聯網裝置攻擊:
閱讀我們的報告「物聯網裝置安全防護:鎖定智慧家庭會面臨的風險和威脅」來了解更多關於此題目的資訊,包括對其他攻擊場景的描述、對物聯網裝置不同攻擊層面的討論以及使用者進一步確保智慧家庭安全能夠採取的安全措施。
@原文出處:Inside the Smart Home: IoT Device Threats and Attack Scenarios 作者:Ziv Chang
趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性,將這些預測分成幾大領域:
【2019 年資安預測 】在家上班員工,將為企業帶來那些資安風險?
【2019 年資安預測 】社交工程網路釣魚將取代漏洞攻擊套件成為主要攻擊管道
【2019 年資安預測】在選舉壓力下,政府對抗假新聞的行動將被迫讓步
【2019 年資安預測 】網路犯罪集團將運用更多魚目混珠的技巧
【2019 年資安預測 】不只是企業高層主管,變臉詐騙也將開始鎖定一般員工
家用路由器對於想要掌控智慧家庭裝置的網路犯罪集團來說,仍是一個非常誘人的攻擊目標。智慧家庭環境將重現 2000 年早期一個資安史上名為「蠕蟲戰爭」的重要時代。
近年來一些利用路由器所發動的智慧裝置攻擊 (亦稱 IoT 攻擊) 大致上不是根據 網路上流傳的 Mirai 惡意程式原始碼 ,就是根據其他行為類似的惡意程式所衍生而來。它們都會自動掃瞄網際網路來發掘同一款裝置下手。
由於裝置的數量是有限的,而且一台裝置只能接受一個惡意程式的指揮來從事分散式阻斷服務 (DDoS) 攻擊和其他攻擊,因此,網路犯罪集團便開始在程式內加入一些程式碼不讓其他駭客操控裝置,或者將其他駭客的惡意程式剔除,以便能夠獨占裝置的控制權。
首樁智慧醫療裝置攻擊的真實受害案例將會是銀髮族。
企業目前正試圖開發智慧追蹤裝置和其他連網醫療裝置的 銀髮族客群 ,例如一些可監視心跳或者在年長者滑倒或跌倒時緊急通知某個網路帳號的智慧裝置。過去,年長者因為身邊存有一筆養老積蓄而相對較富有,因此經常成為 電話詐騙的對象 。
我們認為,銀髮族在 2019 年很可能成為智慧裝置攻擊的第一個受害者。理由是,使用健康追蹤裝置的年長者不見得非常熟悉電腦操作,因此不會去檢查這些裝置的隱私權設定,使得自己的資料因而外洩,或者不知如何保護自己的帳號,讓駭客能夠竊取其健康資訊或其他個人資料。 繼續閱讀
