物联网之弊:黑客发现酒店安全漏洞
随着物联网的发展,我们将会迎来更加智能化的生活。不过,物联网也是一把 “双刃剑”,在更多的方便之外,它也带来了新的安全隐患。这些联网设备已经成为黑客新的攻击目标。
在即将到来的黑帽安全大会上,西班牙黑客 Jesus Molina 会分享自己的发现。他现在为一家美国独立安全咨询公司工作。去年他在深圳的瑞吉酒店入住时,对房间内的操控系统产生兴趣。今年年初,他特意去酒店住了几天,找到了一些安全漏洞。通过这些漏洞,他能够控制酒店 250 多个房间里的温控器、灯光、电视、百叶窗,还有门外的 “请勿打扰” 电子灯。
瑞吉酒店向每个客人提供了 iPad 和电子管家应用,用来控制房间里的各种设施,但是,他们使用的通信协议 KNX 不安全,没有提供加密功能。“KNX/IP 协议不能保证安全,” Molina 对 Wired 网站说,“因此,任何一个酒店或公共场所,如果在不安全的网络上使用该协议的话,很容易使自己成为攻击对象。”
更为糟糕的是,客户控制物联网设备和浏览网页时,使用了同一个开放无线网络。只要在无线网络范围内,黑客可以轻易地实施攻击。另外,由于酒店没有对 iPad 进行认证,黑客也能用笔记本控制其他房间的设备。黑客还可以在 iPad 上安装木马程序,实现远程遥控。“我可以身在柏林,然后控制 iPad,让它关掉酒店里的灯光。” 他说。他还能在 iPad 上安装恶意程序,让它随机选定时刻,开关房间里的灯光和电视。
Molina 向酒店的安全主管报告了这个问题。安全主管承认了问题的存在,并且说他正在努力修补。不过,这并不容易。酒店需要对全部系统进行更换。Molina 并不确定他能够控制多少设备。酒店确认说,电子管家不能控制门锁。同时,他也了解到,其它的连锁酒店使用了不同的系统。
Molina 发现的安全问题,并不仅仅在酒店存在。目前,许多家用自动化系统都使用了不安全的 KNX 协议。“人们使用这些协议并不是为物联网构建的,” Molina 说,“在无线的情况下,家庭自动化使用 KNX 完全没有道理。我们在物联网上进行的游击战会很危险。对此,我不会轻描淡写。”
图片来自 Wired