如果你无法控制你家的烤箱,而看不见的黑客可以远程随意调整烤箱的温度,是否很恐怖?这一切都真实发生了。
在2个月前的首届HackPWN安全极客狂欢节现场,一只年轻的黑客团队现场演示了烤箱破解。这个看起来年轻的团队是从全国50多个精英中挑选,在经过层层选拔,最终只有30名年轻人进入了神话成长基地。之后在各大黑客高手的带领下,进行了为期留个月的“杀手式”封闭培训。
此次他们展示的漏洞破解,是针对智能烤箱。烤箱大家都很熟悉,但是这个功能单一的家用设备,又怎么能被黑客控制。而被黑客控制后,又怎么会产生安全隐患的呢?
原来除了正常的烧烤模式外,智能烤箱具备通过Wifi远程控制的功能。虽然极大的增强了使用的便利性,但是一旦被不法分子控制,随意设定烤箱的温度,会引发一场火灾也未可知。所以,安全无小事,尤其物联网越来越发达,类似的安全隐患我们一定不能忽视。
神话团队的三位成员在现场先用手机链接配置,对烤箱进行了正常的控制;之后,他们通过下载APP,在使用抓包查看通信过程、分析域名后发现,此款智能烤箱由第三方云的某智能家居平台控制。
因为验证处与私有云之间存在AES加密模式的通讯,于是神话团队通过抓包分析判断出局域网内是根据mac地址、和授权的手机识别码直接向设备申请控制key,然后再通过私有云发送操作命令。由此,只要获得第三方开发者身份的手机识别码,就可以遍历的mac地址,得到存货设备,从而控制此厂商大部分的设备。
神话团队认为,因为该平台主打智能家居,除烤箱外有智能插座,智能摄像头等多种设备,如果该漏洞被不法分子利用,那么将会引发种种恶劣的安全事故。
HackPWN安全极客狂欢节是由安全团队360VulcanTeam、360UnicornTeam发起的基于智能设备和智能平台安全。万物互联极大的便利了我们的日常生活,但是物联网的漏洞也频频出现。需要各大厂商重视起来。HackPWN也希望能唤起民众和产业关注智能时代安全的安全极客平台,倡导安全无忧的智能生活,从而引领未来科技、智能生活发展的方向。
