美國食品藥物管理局(FDA) 對病患、醫療專家及其他相關業者就11種可能危害醫療裝置及醫院網路的漏洞發出了警報。這組漏洞被稱為 URGENT / 11,是在有超過十年歷史的第三方軟體組件IPnet內發現。
URGENT/11包括了六個可遠端執行程式碼(RCE)的嚴重漏洞,另外五個分類為分散式阻斷服務攻擊 (DDoS)和邏輯漏洞。阻斷服務攻擊和邏輯漏洞可能會導致裝置無法運作,而RCE漏洞能夠讓駭客遠端控制有問題的醫療裝置。
這些攻擊因為IPnet支援電腦間網路通訊而變成可能。儘管原始廠商已經不再支援IPnet,但仍有取得授權的製造商可以在不支援的情況下將軟體組件整合進裝置。也因此,這套軟體已經進入了各種醫療裝置或所使用的軟體應用程式。最嚴重的是,IPnet也被用於醫療產業即時作業系統(RTOS),這類系統因為可以即時回應事件而被用來提昇醫療裝置的效能和準確性。
繼續閱讀專攻擊 IOT 的殭屍網路Satori作者最近認罪了,同時研究人員發現超過60萬個GPS追蹤裝置因為使用預設密碼而有危險。最近的這兩起新聞在在突顯了物聯網(IoT ,Internet of Thing)安全問題因為裝置安全性差加上網路犯罪分子積極攻擊的加乘作用而更加嚴重。
Avast的安全研究人員發現有GPS追踪裝置暴露風險。他們首先在T8 Mini發現了數個問題,這是款中國深圳物聯網廠商365科技所製造的GPS追踪裝置。
他們的調查發現這家廠商所生產的其他30多種GPS追踪裝置都有相同的問題,讓影響程度指數化地上升。研究人員表示,預設密碼讓駭客能夠入侵使用者帳號,接著可以監視對話、偽造裝置位置,以及透過GSM頻道追蹤裝置。
繼續閱讀
智慧家庭可能面臨的各種威脅顯示出物聯網裝置被入侵不僅會影響使用者的舒適性和便利性,還可能會影響他們的安全。
智慧家庭由連接物聯網(IoT ,Internet of Thing)的各種不同裝置所組成,每個裝置都具備特定的功能。無論這些裝置彼此間有多麼不同,它們的目標都是為了串起工作流程並簡化使用者的生活。它們共同營造出舒適便利的誘人形象。但正如這些裝置為家庭生活提供了革命性的改變,它們也為家庭安全帶來了新的複雜性。
我們的報告「物聯網裝置安全防護:鎖定智慧家庭會面臨的風險和威脅」詳細介紹了可能發生在智慧家庭的各種攻擊場景,並且探討了物聯網裝置可能遭受攻擊的不同層面。我們會概述各種智慧家庭裝置可能面臨的攻擊場景並提出安全解決方案。
智慧家庭讓使用者能夠連接住家內的各個角落,甚至能夠從遠端進行存取。例如,使用者可以用行動應用程式或網頁介面來即時監控家裡。同時還能遠端進行某些操作,如用智慧型玩具與孩子互動或為可信賴的朋友打開智慧門鎖。
智慧家庭裝置還提供了自動化和連結功能,讓使用者更方便地度過每一天。例如,到了早上,智慧型咖啡機在使用者起床工作前就開始泡咖啡。當使用者進入廚房,如果尚未訂購所需食物,智慧型冰箱就會提醒他們存貨不足。當使用者走出門,智慧門鎖會在他們離開後自動上鎖。現在房內沒人了,智慧型掃地機器人就會開始進行打掃工作。
當使用者對智慧家庭內的所有裝置有良好的控制能力及能見度時,上述以及更多的場景就會出現。但如果駭客在使用者不知情下取得了控制能力和能見度,就會出現問題。
存在漏洞、不當設定以及使用預設密碼都可能讓駭客得以入侵智慧家庭系統內的裝置。一旦某個裝置被入侵,駭客就可以根據裝置功能來採取一連串的動作。我們在底下舉例說明一些可能的場景。
從前門開始,可能有一道智慧門鎖。一旦被入侵,智慧門鎖可以讓駭客控制誰能進出房子。那駭客最可能做的就是讓入侵者或同夥進入房子,另一個可能的行為就是將住戶鎖在門外。
客廳裡也有幾個裝置可被設定。其中一個是智慧喇叭,這是語音啟動家庭自動化命令的管道。一但被入侵,智慧喇叭這樣的語音啟動裝置可以讓駭客發出自己的語音命令。
在廚房裡,如果智慧冰箱和智慧型咖啡機等裝置被入侵也會造成問題。駭客可以設定智慧冰箱來註冊錯誤的到期日期或在線上訂購大量存貨。即使是智慧型咖啡機,如果被駭客下指令不斷泡咖啡也會造成極大的不便。
現在智慧型裝置甚至會出現在浴室裡,最常見的是智慧馬桶。智慧馬桶具有不同的功能,例如感應後用適量水量來沖馬桶,這對使用者來說很有幫助。但駭客也可以讓這裝置發狂,像是不停重複地沖馬桶或讓不斷噴水。
入侵的裝置不同也能夠針對家庭不同的成員。對兒童來說,智慧型玩具被入侵會帶來特別的風險。例如,駭客可以直接跟孩子講話,或是用玩具安靜地記錄孩子的活動。智慧型玩具出現漏洞的案例說明了即使讓兒童使用夠安全的物品,一旦被入侵也會造成傷害。
智慧燈泡能夠被裝在房子的各個角落,從地下室到頂樓。可以根據時間或移動偵測或環境光亮度來自動開啟或關閉。但駭客也可以用這些看似簡單的裝置來驚擾住戶,在不當的時候開啟或是做其他行動。
智慧型掃地機器人這樣的裝置可以在房間內移動,可能為駭客提供關於房間佈局的資訊。駭客可以利用這資訊來規劃進一步的行動。
智慧型裝置連接點對駭客來說也很有用。駭客可以入侵家庭路由器,為自己的需要來重新導向或修改連線。這代表駭客能夠對連到智慧家庭網路的任何東西為所欲為,就跟真正的擁有者一樣。
儘管我們對入侵及其後果的討論主要集中在智慧家庭,但任何部署有漏洞或設定不良裝置的地方都有著相同的問題。物聯網系統被攻擊成功的後果取決於使用系統的環境類型。
在企業環境裡很容易就可以看到上面提到的許多(如果不是全部)裝置。例如,辦公室廚房或休息室可能有智慧冰箱和智慧型咖啡機。企業當然也適合裝智慧燈泡,特別是當大規模部署時還可以幫助企業節省能源。
行動和穿戴式智慧型裝置讓物聯網安全問題變得更加複雜,因為這些裝置遍佈企業和家庭環境,甚至讓許多公司更新了「自帶裝置(BYOD)」政策。這些裝置(如智慧手錶和智慧瑜伽墊)通常由使用者帶到辦公室,然後在下班時帶回家。如果BYOD政策較弱或未採取足夠的安全措施來防止此類威脅,則出現在某一環境內的惡意軟體感染可能會擴散到另一個環境。
以上場景不僅展示了駭客可以利用智慧型裝置做些什麼,還展示了物聯網融入人們生活的程度。顯而易見地,住家的各個地方都會有合適的物聯網裝置可用,從客廳和廚房到浴室和客房。這樣深深融入的人們生活,使得駭客會想嘗試去攻擊物聯網,也對使用者造成很大的影響。可以說,沒有哪個網路威脅發生在智慧家庭時更具侵入性和個人性。
因此,使用者更需要在智慧家庭裡保護物聯網裝置。以下是一些使用者可以採取的安全措施,保護智慧家庭免受物聯網裝置攻擊:
閱讀我們的報告「物聯網裝置安全防護:鎖定智慧家庭會面臨的風險和威脅」來了解更多關於此題目的資訊,包括對其他攻擊場景的描述、對物聯網裝置不同攻擊層面的討論以及使用者進一步確保智慧家庭安全能夠採取的安全措施。
@原文出處:Inside the Smart Home: IoT Device Threats and Attack Scenarios 作者:Ziv Chang
三名青少年製作的 Silex, 表示不是為了錢,癱瘓設備是為了防止被其他駭客惡意使用。
資安研究人員在6月25日注意到一名為Silex的新物聯網(IoT)惡意軟體(趨勢科技偵測為BACKDOOR.LINUX.SILEXBOT.A)在迅速散播並抹除設備韌體。這個惡意軟體只運作了一天左右就已經成功地癱瘓數千台物聯網設備。直到本文撰寫時,惡意軟體的命令和控制伺服器已經關閉,因此無法感染新的受害者,但惡意軟體仍在中毒電腦上執行。
這是個特別有破壞性的惡意軟體,需要重新安裝韌體才能回復受感染的設備。根據研究員Larry Cashdollar所說,惡意軟體使用已知的預設帳密(物聯網設備出廠時的標準使用者名稱和密碼)進入受害者系統。Cashdollar指出他所發現的病毒會針對ARM設備。他還看到了針對類Unix作業系統的版本。這代表如果Linux伺服器使用預設帳密,Silex也會對其造成影響。
繼續閱讀