最近這則新聞駭客入侵嬰兒監視器,遠端嚇小孩!,報導指出根據美國Fox News報導,有一對家長發現,駭客入侵了他們為10個月女兒所準備的嬰兒監視器(baby monitor)。該駭客除了遠端操控該監視器的錄影角度,還大聲對著小孩喊叫。嬰兒的爸爸衝進女兒房間後,發現房內並無他人,但看到嬰兒監控器的鏡頭在轉動,嚇到直接把監視器的插頭拔掉。據使用者論譠上披露,該款無線IP攝影機所使用的韌體含有安全漏洞,該款攝影機最多可支援8個帳號,一旦有帳號留白,那麼不用輸入帳號或密碼就能存取該攝影機所拍攝的內容。
物聯網(IOT或萬物聯網IOE)是近來盛行的科技流行語之一,從Google搜尋趨勢就可以看得出來。這名詞指的是日常物品數位化的增加 – 任何新科技產品在設計時都會考慮到連接性,不管是智慧型電視、或是智慧型烤麵包機。隨著越來越多設備連上網路,防護這些設備也成為資安的下一個大挑戰。(本部落格相關文章物聯網(IOT或萬物聯網IOE)會遭受攻擊嗎?)
易被滲透的公共熱點和不安全的路由器讓類似Chameleon的威脅值得被重視。最近有一家安全廠商所發布的報告指出,在Amazon.com排名前50名最暢銷的路由器中有四分之三有駭客可以加以攻擊的漏洞。這問題再加上了大多數使用者不會更改無線基地台的預設密碼或IP地址,讓它們在遭遇大規模攻擊時非常的脆弱。
一個最近所出現的惡意軟體讓使用者不必下載檔案或是連上可疑網站就會讓系統受害。Chameleon,這是個在目前還只是概念證明的惡意軟體,但它強調了散播網路攻擊的載體範圍在不斷地擴大。具體地說,它結合了無線網路監聽程式和病毒,可以經由網路取得身份憑證,並且分析無線基地台的弱點。
Chameleon,網路安全和物聯網
Chameleon因為它的感染模式而被比喻成一種感冒,但其治療方式(它的設計曾被網路犯罪份子模仿)可是比喝大量的水和更多休息還要複雜。因為Chameleon是停留在網路上而非單一端點,許多防毒軟體可能很難加以察覺。
「當Chameleon攻擊無線基地台時,並不會影響它的正常運作,卻可以收集和回報所有連上之無線使用者的身份憑證。接著,病毒會找到其他可連上的無線基地台並加以感染」,利物浦大學的網路安全教授Alan Marshall如此說道。「這雖然只是假設,但之前並無法開發病毒來攻擊無線網路,但我們現在證明了這是可能的,而且可以快速地蔓延。」
在未來,安全專家很可能可以找到方法來監控Chameleon。但真正的問題並不只是此特定威脅。Chameleon特別的攻擊媒介 – 無線基地台,顯示出其已經漸漸地成為網路基礎設施的中心。它既是物聯網的骨幹,也是需要更加注意其安全的東西。
Chameleon的難以捉摸讓它成為值得注意的網路威脅之一,而且包含病毒讓它和直接駭入無防護的網路攝影機、路由器或其他物聯網設備進行基礎設施攻擊有所區別。然而,這些看來不同的危險也明顯地說明出攻擊者是如何地將注意力從獨立硬體(電腦、智慧型手機或是平板電腦)轉移到網路上,攻擊有漏洞的設備,或有時會集中所劫持的資源來進行之後的攻擊活動。
要防範Chameleon後繼者和其他網路惡意軟體需要面面俱到。一開始,使用者需要強化密碼安全和良好的無線網路習慣。安全社群和設備製造商也必須將網路設備,甚至一般機器如冰箱和空調設備都當作個人電腦一樣的看待 – 因為這些機器也會被感染。
