隨著智能家居系統漸趨成熟,越來越多人利用科技提升生活質素,但近日有研究人員發現有智能家居的控制應用程式Rubetek Home存在危險的安全漏洞,攻擊者可以藉此關閉物理的保安系統,為用戶帶來潛在保安風險。
應用程式安全漏洞
應用程式的安全漏洞會在登入的過程中發送敏感資料,開發者利用Telegram Bot API收集分析,並透過Telegram機器人發送偵錯資料檔案到私人開發團隊聊天,但問題是這些檔案還包含系統資料、用戶個人資料和存取用戶帳號的token,潛在攻擊者可以利用相同的Telegram機器人轉寄這些資料給自己,藉此取得Telegram token和聊天ID。
近期透過Telegram記錄事件越來越普及,可以在通訊軟件內快速和方便地接收重要通知,但此舉需要小心,保安專家建議不要在應用程式記錄轉發敏感資料,更應該在Telegram設定禁止複製和轉發群組的內容(幸好研究人員通知Rubetek後,安全漏洞已經被堵塞),潛在攻擊者可以取得所有由用戶的應用程式發送給開發人員的資料,當中包括:
- 姓名、電郵地址或手提電話號碼,以及連著應用程式的住址。
- 連接智能家居系統的裝置清單
- 登入智能裝置的資料,例如家居保安系統的狀態,或任何鏡頭拍到的可疑活動。
- 家居網絡內的裝置的系統資料,例如MAC地址、IP地址和裝置種類。
- 透過WebRTC協議連接鏡頭的IP地址
- 智能鏡頭和對講機的快照
- 用戶與協助形式的聊天
- 可以使用用戶帳號開始新對話的token
如果智能家居被入侵
廣泛的數據可以實現全面的監控,知道誰住哪裡和哪些日子不在家,犯罪份子可以知道某人的行程,並在經應用程式遙距關閉鏡頭和其他保安系統,再趁家中空無一人的時候進入單位。不過如此明目張膽的闖入很容易惹人注目,犯罪份子也可以進行其他惡作劇,例如利用漏洞遙距更換智能照明系統的燈光顏色、地板溫度,甚至不停開關照明,為屋主帶來經濟損失。而且攻擊者的目標可能不只是單一公寓或房屋,而是整個建築群內的收千居民,儘管把門禁系統停用很快會被管理員發現,但弄清楚問題所在需要時間,同時間居民已受到不同形式的影響。
保護智能家居
以上提及的安全漏洞可以發生在其他智能家居應用系統上,作為用戶基本上無法知道應用程式是否已遇入侵,所以一旦發現可疑活動,例如客戶名單發現陌生人、未經許可開關閘門等,建議盡速聯絡應用程式的管理員或零售商。如果是在公寓內沒有網絡管理員的知能裝置,我們建議遵循以下規則:
- 為Wi-Fi路由器更改預設密碼至更強力的密碼組合,關閉WPS並啟動WPS2加密。
- 建立智能家居裝置專用的Wi-Fi網絡,並設定不同的密碼,現代路由器支援訪客網絡,即使有裝置被入侵,也不同波及電腦或智能電話。
- 使用可靠的防護方案定期檢查網絡上的未經授權裝置
- 每部裝置設立強力密碼,使用密碼管理軟件協助管理。
- 定期更新智能裝置的韌體,包括路由器。
資料來源:Kaspersky Blog
