“这些技术的出现令人兴奋,这些漏洞的存在令人心碎。”克洛利说。
他和同事发现的安全漏洞允许一个入侵者控制数个Insteon系统中的敏感设备,从Belkin WeMo开关到Satis 智能厕所。是的,他们发现厕所也能黑。你只要安装了智能厕所的应用程序,离厕所的距离足够近,那么你就可以与之通信。
“蓝牙连接,无需用户名或密码,”克洛利说,“任何人在手机上安装应用并接入网络,就能控制别人的厕所。当有人如厕时,你可以打开坐浴盆。”
他们将在未来两周举办的黑帽技术大会和Defcon黑客大会上公布发现。Trustwave指出公布这样的漏洞是想让公司知道产品发布前的安全测试有多重要。
还有一个问题,比如MIOS无线网关控制器,一旦它们接入网络,那么它们就默认任何使用该网络的都是授权用户。所以,如果你能接入别人的热点网络,你就能控制他们的家居。“这些公司认为家庭网络是防守的要塞,”克洛利说,“但大多数情况下,什么都不是。”
Insteon的漏洞之所以严重,是因为它允许任何人通过网络接入。
研究人员能看到暴露在网上的系统,但是不想进一步搜索。我真的为此感到不安,在关掉其他人的灯之前,我都确保获得这些用户的许可,不然有可能面临法律的指控。
“发现问题并报告给相关公司的人不用担心触犯法律,”一名擅长网络安全法规的律师马西亚霍夫曼(Marcia Hofmann)说。
“我们的演讲重点是这些设备没有良好的安全性,需要改善。”克洛利说,“很多缺陷研究几个小时就能发现。”
