物联网应用发现加密不佳

物联网安全是一个大问题。 围绕物联网设备的安全性不断有新闻,尤其是针对儿童的设备,例如玩具或智能手表。 最近的研究发现,经过测试的物联网应用程序中有一半的加密很差,使用起来也不安全。

目录

研究人员理论

研究人员认为,如果物联网设备的配套应用程序与设备固件之间的交互不安全,那么物联网设备可能不安全,容易受到攻击。

这就是为什么决定专注于通常为不同物联网设备分发的应用程序的原因。 通过在应用程序的安全性中找到可能的薄弱环节,通常意味着物联网设备本身很容易受到攻击。

调查结果

研究团队查看了 96 台物联网设备的应用程序,他们发现几乎 31% 的测试应用程序完全没有使用任何加密。 19% 依赖于使用容易找到的硬编码加密密钥。

他们还研究了与五种不同设备相关联的四种不同的智能手机应用程序(两种设备使用同一个应用程序)。 然后,他们为每个应用程序创建了漏洞利用程序。

他们关注的应用是:

  • 手机卡萨
  • LIFX
  • 微摩
  • 电子控制

Kasa 是一款控制智能 TP-Link 设备的应用程序,他们发现 TP-Link 对给定产品线的所有设备都使用了硬编码的加密密钥。 不仅如此,设备的初始设置是通过应用程序完成的,没有强大的身份验证。 研究人员设法创建了一种欺骗攻击,以轻松获得对设备的控制权。 问题在于,TP-Link 的所有物联网设备现在都容易受到攻击,因为它们都使用相同的应用程序。

在查看了上述四个应用程序后,他们查看了与亚马逊上销售的前 96 种 Wi-Fi 和蓝牙设备相关的 32 个应用程序。 他们在整个阵容中发现了类似的缺陷。

制造商回应

这份研究报告发布后,多家媒体向这些易受攻击产品的制造商征求意见。

LIFX 是第一个接触到的人 登记册,指出“有限结果报告中概述的漏洞已在 2018 年底得到解决。我们增加了安全措施,包括引入加密。” The Register 对 LIFX 的更多推动表明情况并非如此,因为 LIFX 最终承认“在这种情况下,我们确实使用未加密的消息通过本地 LAN 与我们的灯进行通信。 LIFX 并没有隐藏这一点:我们的 LAN 协议已公开记录,以帮助合作伙伴和第 3 方开发人员使用。”

TP-Link 是下一个解释其实施的人。 我们正在努力在今年晚些时候推出用户帐户,这将保护本地网络通信并提供更好的可访问性。”

就目前而言,Belkin 和 Broadlink 等公司尚未做出回应。

物联网是一种安全隐患

对于许多人来说,物联网设备是绝对必须拥有的。 诸如智能插头、人工智能助手和智能照明之类的东西都很棒。 不过,很难忽视物联网根本不安全。 当您使用物联网设备时,您会将家中的某些部分置于危险之中,无论是插头还是 Google Home 或 Amazon Echo 之类的设备。

对于有安全意识的人来说,物联网仍然是完全不可行的。