黑客是如何入侵和控制物聯網設備的?

雷鋒網 於 31/12/2015 發表 收藏文章

《連線》雜誌報道稱,安全研究人員曝光了物聯網領域的諸多漏洞,從無線芭比娃娃到兩噸重的吉普車大切諾基。安全公司企業家Chris Rouland表示,如今這些展示還比不上真實世界惡意的黑客。不過,曾運營着頗受爭議的政府竊聽承包商公司Endgame的Rouland已經轉移至其新的創業公司Bastille,該公司關注物聯網安全,關注存在被黑客入侵的風險的數位物件。Rouland表示這些風險正在上升,“智能芭比都是這條殺傷鏈的一部分。”

以下就是2015年一些物聯網安全受到攻擊的事例:

聯網汽車

今年7月,安全研究人員Charlie Miller和Chris Valasek永遠地改變了汽車行業“車輛安全”的概念,他們展示了黑客能夠遠程攻擊一輛2014款Jeep Cherokee,禁用其變速器和剎車。這一發現導致菲亞特克萊斯勒前所未有地召回140萬車輛。

接着今年8月的黑客防禦會議上,網絡安全公司CloudFlare主要研究員、Lookout聯合創始人兼首席技術官Kevin Mahaffey公佈了一套他們從特斯拉Model s上發現的安全漏洞。據了解,他們通過筆記本能夠黑進Model S儀表盤背後的網絡系統,然後驅動這輛價值10萬美元的汽車揚長而去——或者遠程植入一個木馬病毒,在汽車行駛過程中關掉引擎。在其他汽車上他們也發現了可遠程進行物理訪問的漏洞,即使沒有進行測試。如今特斯拉已經發布了這些漏洞的補丁。

同樣是在黑客防禦會議上,安全研究員Samy Kamkarshowed開發了一款叫OwnStar的設備,它能夠遠程向一輛通用汽車植入攔截通訊的軟件,這樣黑客不僅能夠對汽車進行定位、隨意打開車門和解鎖,還能啟動引擎,偷車輕而易舉。而且,Kamkar很快發現,類似的技巧在寶馬和奔馳的應用程序上同樣生效。幾天後,加州大學研究員也展示了能夠利用一種小型電子狗供進汽車的儀表盤來控制汽車的速度和加速度。

所有這些引人注目的黑客都是為了傳遞一種信號,“如果消費者沒有意識到這是一個問題,他們應當向汽車製造商聲討。這可是最有可能殺人的軟件漏洞。”這句話,不僅是要告訴汽車企業,也包括消費者和監管部門。

醫療設備


汽車並不是物聯網安全中會致命的設備。關鍵的醫療器材和設備也存在軟件和結構漏洞,讓惡意黑客有機劫持和控制它們,造成致命後果。心臟病學家Dick Cheney,就一直擔心攻擊者可能會通過前副總統的起搏器來進行致命的攻擊——黑客可以利用其辦公室的WiFi禁用其設備。美國阿拉巴馬大學的學生日前的實驗證明了這個擔憂的嚴重性。“我們可以隨意提高心臟速率,或者是降低速率。”這個研究小組最後還把用作實驗的機器人從理論上殺死了。

這些學生的實驗雖然是基於對過去案例的研究,但確實地展示了未來存在着危機手段。

藥物輸液泵——往病人體內輸送嗎啡、化療、抗生素和其他藥物的設備,今年同樣受到關注。網絡安全研究員Billy Rios在一次緊急手術後對這些東西產生了好奇心,然後發現了驚人的祕密——這些裝置存在着嚴重的漏洞,能讓黑客遠程控制藥物劑量。

如今,負責醫療設備安全審批的聯邦藥品管理局已經注意到所有這些設備和已被發現的問題,且已經開始採取措施進行補救。但是,醫療設備的許多問題並不能依靠一個固定、簡單的軟件補丁來解決——相反,它們需要重新架構系統。然而,所有這一切都需要時間。

其他一切事物


當美泰兒公司給其產品Hello Barbie添加WiFi連接時,是為了給這個玩偶增加人工智能,能夠進行對話,但是,該公司在Hello Barbie的智能手機應用上留下了欺騙和攔截所有音頻記錄的連接。三星的“智能冰箱”旨在讓用户通過WiFi同步Google日曆,但因為沒有驗證SSL證書,導致用户的Gmail憑證被盜竊。即便是嬰兒監視器也存在着令人毛骨悚然的安全隱患:黑客攻擊甚至比其他設備更容易。

甚至連槍支都難免於黑客攻擊的風險。黑客夫妻 Runa Sandvik和Michael Auger今年7月演示了一個案例,他們可以控制無線TrackingPoint狙擊步槍。改變步槍的變量系統、禁用步槍、錯過目標,甚至讓它擊中其他的目標。

對於任何一類現已給定的消費產品,都會有至少一家公司迫不及待地要給它們加入WiFi接入功能。但事實上,能夠保護接入WiFi後的技術,才是更重要的優先級研究項目。最重要的安全措施沒有準備好,如何為消費者提供保障?

via wired


資料來源:雷鋒網
作者/編輯:曉樺

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→