智能锁的便利性背后隐藏着安全隐患。Tripwire的研究人员发现,U-Tec UltraLoq智能锁存在错误配置,攻击者可以通过网络嗅探器获取MAC地址来窃取解锁令牌,实现无钥匙进入。尽管U-Tec已采取措施,如关闭开放端口和添加身份验证规则,但用户级别的访问控制仍有待加强。物联网设备的安全问题再次引起关注,强调了在追求便利的同时,必须重视产品的安全性。
智能锁已逐渐替代传统锁钥被用作智能物联网(IoT)保护财产的方法。与其他物联网设备(包括无线门铃和门栓)相辅相成,这些设备被普通公众用来保护他们的家。商业中,在Airbnb上出租房屋时,托管人可以对其进行远程管理不必在现场为客人安排钥匙移交。
虽然便利为王,但这种连通性也会带来一系列新的安全问题。例如,几年前,糟糕的固件更新使LockState客户陷入麻烦境地,他们纷纷在Twitter上抱怨无法远程控制自己的智能锁,因此无法进入自己的家。
现在,锁标正被网络嗅探器和漏洞利用所取代,在 U-Tec UltraLoq 中,Tripwire的研究人员披露了错误配置和其他安全问题,这些问题泄露了数据,使得攻击者仅用一个MAC地址就可以窃取解锁令牌。
U-Tec的价格为139.99美元的UltraLoq由包括Amazon,Walmart和Home Depot在内的零售商出售,被称为“安全,通用的智能门锁,可通过支持蓝牙的智能手机和代码提供无钥匙进入。”
用户可以与朋友和来宾共享临时代码和“密钥”以进行预定访问,但据Tripwire的研究人员Craig Young称,能够嗅探设备MAC地址的黑客也可以获得访问密钥。
Young首先在物联网搜索引擎Shodan中搜索与U-Tec和供应商使用MQTT相关的词条,MQTT是物联网设备中用于在节点之间发布-订阅协议的交换数据。例如,智能恒温器的传感器可以传输与特定房间中的供热有关的数据,或者
最低0.47元/天 解锁文章
扫一扫
775
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
