連接 Wi-Fi 與物聯網的智能插座如果出現安全漏洞,黑客就能夠取得物聯網裝置的控制權然後為所欲為,而近日 Belkin Wemo Insight Smart Plug 就被發現存在安全漏洞,黑客能夠繞過當中的網絡防護,埋下潛在的風險。
漏洞對物聯網影響更大
被發現到的安全漏洞為 CVE-2018-6692,最基本的情況是惡意行為能夠控制裝置開關,原本只屬於滋擾性質,但是發生在連接 Wi-Fi 的智能插座,便會影響到家居裝置的自動化功能,即是直接影響用戶的日常生活,而存在漏洞的裝置便成為入侵的缺口,以 Belkin 的事件為例,黑客可以透過裝置的 UPnP 功能在網絡路由器上打開一個漏洞,而 Wemo 使用 port TCP 49152 至 49153。
漏洞可以製造一道後門讓黑客在不被發現的情況下進行遠端連線,然後隨意打開其他端口 (port),危害所有連接網絡的裝置,而黑客的所有行動都不會在路由器的管理頁面中顯示,令黑客的行為更難被用戶發現。
研究人員更能夠透過遠端遙控連接網絡的智能電視,因為該電視使用未經加密的方式執行指令,並且不對發出指令的機器進行驗證,使遠端控制變得相當容易,通過 Wemo 作為中間人,黑客不但可以開關電視,更可以安裝或移除應用程式和存取任意的網上內容,而這只是透過 Wemo 攻擊其他裝置的其中一種方法,其他危險行為當然在連線的裝置上執行惡意程式,即使 Wemo 沒有記錄用戶的個人資料,但透過其他連接的裝置,個人資料同樣也有機會外洩。
雖然研究人員在 3 個月前已把漏洞發現通知 Belkin,但至今漏洞仍未堵塞,更詳細的資料可以瀏覽 ThreatPost 的報導。
資料來源:ThreatPost