9CaKrnKhErJ作者:张阳smart.huanqiu.comarticle废弃智能灯泡也能泄露密码 IOT设备网络安全存隐忧/e3pmh140m/e3pmh1q14【环球网智能综合报道】如今各种各样的智能家居设备越来普遍,很多售价也非常便宜,不少喜好新鲜事物的居民可能都或多或少的买过一些这样的智能设备,可是你有想过这样的设备即使被扔进了垃圾桶也可能会危及你的网络安全吗?这些物联网设备大多比较小巧,但是却是功能齐全的网络设备,因此你也需要采取一些基本的防御措施,以防备其广播你的未加密秘钥信息或者成为外界获得系统访问权的漏洞。安全博客 Limited Results 对一些廉价智能灯泡进行了调查,结果发现安全问题并不在于这些设备联网时做了什么,而是它们存储了什么以及如何存储的。Limited Results测试的灯泡全都不具备真正的安全机制来保护内部芯片上的信息,在拆卸下灯泡的电路板后,测试人员只是接上了几个触点,没过多久便找到了设备的引导数据,并且能够对设备进行写入指令的操作。这些数据无一例外完全未经加密,其中包括设备所连接无线网络的密码。此外,有一款智能灯泡中还泄漏了私有的 RSA 密钥,这种密钥被用于创建跟服务器之间的安全连接(以检查升级以及向云端上传用户数据,诸如此类)。如果某个人从垃圾桶里捡起这样的智能灯泡,或是以其他手段获取了你正在使用中的设备,那么他便有机会获取这些信息。早期的物联网设备大多数在开发时未把网络安全作为核心因素考虑其中,Limited Results此次测试的设备包括LIFX、小米、涂鸦智能和WIZ,虽然就目前来说这些设备暴露的信息本身危害性并不是很大,而且获取也有一定难度,不过如果有居心叵测的人还是可以加以利用的,并且更严重的在于这样的问题还不只存在于智能灯泡上。一些劣质的物联网设备的危害不同于其他劣质产品,比如一台劣质CD机可能会划坏你心爱的CD光碟或者音质没有那么出众,但是一个放在婴儿房间的网络摄像头,一个智能插座带来的危害甚至难以想象,而且这种问题并非是购买高端产品就不存在的。目前来说,要想把风险降到最低,一种简单的方式就是把智能家居设备连入独立子网络或者访客网络中,路由器的密码设置的复杂一些,安全性高一些。1549001760000环球网版权作品,未经书面授权,严禁转载或镜像,违者将被追究法律责任。责编:张阳环球网154900176000011["9CaKrnKgiLr","9CaKrnKfpgL","9CaKrnKflX2","9CaKrnKe2Jo","9CaKrnKebJm"]//himg2.huanqiucdn.cn/attachment2010/2019/0201/14/19/20190201021903408.jpg
【环球网智能综合报道】如今各种各样的智能家居设备越来普遍,很多售价也非常便宜,不少喜好新鲜事物的居民可能都或多或少的买过一些这样的智能设备,可是你有想过这样的设备即使被扔进了垃圾桶也可能会危及你的网络安全吗?这些物联网设备大多比较小巧,但是却是功能齐全的网络设备,因此你也需要采取一些基本的防御措施,以防备其广播你的未加密秘钥信息或者成为外界获得系统访问权的漏洞。安全博客 Limited Results 对一些廉价智能灯泡进行了调查,结果发现安全问题并不在于这些设备联网时做了什么,而是它们存储了什么以及如何存储的。Limited Results测试的灯泡全都不具备真正的安全机制来保护内部芯片上的信息,在拆卸下灯泡的电路板后,测试人员只是接上了几个触点,没过多久便找到了设备的引导数据,并且能够对设备进行写入指令的操作。这些数据无一例外完全未经加密,其中包括设备所连接无线网络的密码。此外,有一款智能灯泡中还泄漏了私有的 RSA 密钥,这种密钥被用于创建跟服务器之间的安全连接(以检查升级以及向云端上传用户数据,诸如此类)。如果某个人从垃圾桶里捡起这样的智能灯泡,或是以其他手段获取了你正在使用中的设备,那么他便有机会获取这些信息。早期的物联网设备大多数在开发时未把网络安全作为核心因素考虑其中,Limited Results此次测试的设备包括LIFX、小米、涂鸦智能和WIZ,虽然就目前来说这些设备暴露的信息本身危害性并不是很大,而且获取也有一定难度,不过如果有居心叵测的人还是可以加以利用的,并且更严重的在于这样的问题还不只存在于智能灯泡上。一些劣质的物联网设备的危害不同于其他劣质产品,比如一台劣质CD机可能会划坏你心爱的CD光碟或者音质没有那么出众,但是一个放在婴儿房间的网络摄像头,一个智能插座带来的危害甚至难以想象,而且这种问题并非是购买高端产品就不存在的。目前来说,要想把风险降到最低,一种简单的方式就是把智能家居设备连入独立子网络或者访客网络中,路由器的密码设置的复杂一些,安全性高一些。