在物联网 (IoT)承诺带来便利和效率的时代,智能家居技术的快速普及也带来了安全隐患。从智能冰箱到灯泡,物联网设备已将我们的家变成了通过智能手机控制的互联中心。然而,最近一份关于飞利浦智能照明产品漏洞的报告揭示了黑客可以多么轻松地利用这些设备未经授权访问家庭网络,这引发了人们对日常技术安全性的担忧。
CERT-In 警告:飞利浦智能照明产品存在漏洞
2024 年 10 月 25 日,印度计算机应急响应小组 (CERT-In)发布了飞利浦智能照明产品 (CIVN-2024-0329) 中的高严重性漏洞。该通报强调了在设备固件中以纯文本形式存储敏感 Wi-Fi 凭据所带来的风险。受影响的设备包括飞利浦智能 Wi-Fi LED Batten、LED T Beamer 以及一系列智能灯泡和 T-Bulb 型号,所有设备均使用 1.33.1 之前的固件版本。
智能灯泡(例如飞利浦的 Wi-Fi 型号)在精通技术的消费者中越来越受欢迎。这些灯泡连接到家庭 Wi-Fi 网络,允许用户通过手机应用程序从世界任何地方控制亮度、颜色和其他设置。配置很简单:安装后,可以多次打开和关闭灯泡以进入设置模式,将设备转变为连接到智能手机进行配置的临时 Wi-Fi 接入点。然而,这种易用性也为黑客提供了切入点。
如果黑客获得这些设备的物理访问权限,他们可以通过分析二进制代码来提取固件并获取敏感数据。以纯文本形式存储Wi-Fi 凭证不仅简化了设置过程,而且还使潜在攻击者可以轻松获取这些凭证。一旦获得 Wi-Fi 凭证,黑客就可以连接到家庭网络,从而有可能访问其他连接的设备和私人信息。CERT -In强烈建议用户将固件升级到 1.33.1 版,以缓解飞利浦智能照明产品中的此漏洞。
弱身份验证和网络冒充:入侵的根源
一项针对飞利浦智能灯泡等物联网灯泡的安全漏洞的研究揭示了设置过程中的更多漏洞。进入配置模式时,灯泡缺乏安全身份验证标准,允许攻击者创建一个虚假接入点,用户可能会错误地连接到该接入点而不是灯泡。这种未经授权的访问,即所谓的“中间人”干扰,允许攻击者拦截用户应用程序与设备之间的通信。
在设置过程中用于验证设备的方法也很薄弱。校验和是嵌入在灯泡固件中的安全代码,可以通过反编译和暴力破解获得,尤其是因为它只有 32 位。以目前的计算能力,破解此代码平均需要两个多小时,使攻击者能够模仿设备并拦截用户凭据,例如 Wi-Fi密码和制造商门户登录信息。
除了身份验证过程的漏洞之外,该研究还指出了灯泡和应用程序之间通信加密的弱点。飞利浦智能灯泡采用加密算法 AES-128-CBC 来保护数据。虽然 AES-128-CBC 通常很可靠,但它在这些设备中的实现方式为潜在的漏洞打开了大门。坚定的攻击者可能会解密加密数据,从而访问灯泡和应用程序之间发送的敏感信息。
凭证填充和物联网安全性不佳的连锁反应
当攻击者成功从受感染的设备中提取 Wi-Fi 凭证时,他们可能会进行“凭证填充”攻击。凭证填充涉及使用一组被盗凭证尝试访问多个帐户,因为许多用户在各个平台上重复使用相同的密码。因此,如果用户依赖类似的密码,入侵飞利浦智能灯泡并获取其凭证的黑客可能会使用此信息访问用户的社交媒体、电子邮件甚至金融账户。
飞利浦智能灯泡的例子揭示了物联网安全的一个更广泛问题。一个设备的安全措施薄弱可能会影响连接到同一网络的一系列其他系统。
ZigBee 协议中的安全漏洞:飞利浦 Hue 案例
飞利浦智能灯泡并不是唯一受到严格审查的物联网照明产品。之前对飞利浦 Hue 智能灯泡的安全分析发现了ZigBee 协议中的漏洞,该协议用于远程管理物联网设备。该漏洞被指定为 CVE-2020-6007,允许黑客控制灯泡并安装恶意软件,其严重性在 CVSS 等级上得分为 7.9,表明这是一个高风险漏洞。
ZigBee 的协议漏洞使黑客能够通过智能灯泡渗透到用户的网络,传播恶意软件或利用连接到网络的其他物联网设备。这起事件凸显了物联网照明产品更广泛的安全问题,因为黑客可以利用一个设备的弱点渗透到更大的家庭网络。
迈向安全物联网生态系统的步骤
虽然智能照明和其他物联网设备的便利性不可否认,但这些好处是以潜在的安全漏洞为代价的。对于用户来说,采取主动措施至关重要,例如安装固件更新、为每个平台使用唯一的密码以及使用强密码保护其 Wi-Fi 网络。另一方面,制造商需要采用强大的安全标准,并从一开始就将设备安全放在首位。
对于飞利浦用户,CERT-In 建议所有受影响的设备升级到固件版本 1.33.1,以降低未经授权访问的风险。飞利浦和其他物联网制造商被敦促加强安全措施,保护消费者免受这些漏洞的影响。
原文始发于微信公众号(独眼情报):飞利浦智能灯泡对家庭 Wi-Fi 安全构成威胁
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论