从扫地机器人到灯泡,物联网设备存在许多安全隐忧已经不是什么秘密,最近有研究员也瞄准上最新的对象:智能咖啡机。
试着想象当你一早走入厨房,拿起杯子想冲杯咖啡提神,此时咖啡机突然发出刺耳的蜂鸣声,喷洒热水并不断旋转研磨机,屏幕上显示着恶魔的头像,写着:想要回你的咖啡机?先缴付赎金到以下账户。
这正是Avast研究员Martin Hron近期对价值250美元Smarter推出的智慧咖啡机所做的尝试。尽管绑架咖啡机听起来毫无意义,但Hron只是希望通过此次实验证明一些观点。
Hron表示,有网友提出一种说法,即针对IoT设备的威胁不仅是路由器问题或暴露于公开网络,而是IoT设备本身就很脆弱,即使不依靠前两种手段也能轻松入侵。
为了测试这项观点是否正确,Hron花了一周的时间进行逆向工程研究,详细流程已在Blog文章中讲述。简而言之,Hron发现咖啡机在Wifi连接上与固件更新程序的突破口,之后编写python脚本模仿更新程序来实施修改后的内容,之后便完成开头所说的勒索赎金情况。
Hron表示,最初他曾想证明设备可以被用来挖矿,考虑到CPU和结构是可行的,但是在8MHz的速度下,挖矿的产值基本可以被忽略不计,最后才决定以勒索软件形式进行,而这项实验也证明,同样情况可能会发生在所有的设备。
“这是一个很好例子来说明开箱即用产品的问题。你不需要设置任何东西,而供应商通常也不会考虑这一点。”
当然,用户可以简单通过拔掉插头来暂时解决问题,而绑架也有一些非常明确的限制存在,但其中隐藏的意义更令人担忧。
Hron指出,通过这种作为,攻击者可以使智能设备无法接收未来官方提供的修补程序来修复漏洞,也可以在不触发警告下攻击同一网络上的其他设备,家电设备的生命周期动辄数十年,但IoT设备厂商又计划维护软件多久呢?
“……在IoT设备普及和不良维护态度下,我们正在打造出一支被遗弃、容易受攻击的队伍,这些设备可能被滥用,背用来黑入网络、泄露数据、使用勒索软件攻击或DDoS。”
(首图来源:pixabay)