沒人希望門鈴成為家中的薄弱環節,但是随着“物聯網”行業的興起,它的安全性也應該得到更高程度的重視了。通常人們會安裝個可視的iot門鈴,以便通過網際網路在智能手機等裝置上檢視屋外的狀況。然而專注拆解物聯網裝置的pen test partners公司卻發現,它們竟有一個洩露主人家wi-fi密碼的“漏洞”。
pen test partners解釋到:隻需擰下兩顆螺絲,就能碰到背後的成色按鈕,利用它可以讓門鈴的無線元件切換到ap(接入點)模式。
該無線子產品由gainspan打造,并且包含了一個web伺服器,之後攻擊者可借助手機(以及某個特殊的url)連接配接至該伺服器。
糟糕的是,其竟然直接可以在浏覽器中被看到無線子產品的配置檔案,甚至包含了wi-fi網絡的ssd和psk密碼。
到了這一步,攻擊者就可以安心地将門鈴安裝回去,然後消失。主人們很相信自家的無線網絡,并且會連接配接上各種各樣的裝置。
在獲得了網絡的通路權限之後,攻擊者就能夠肆無忌憚地滲透了。萬幸的是,在pen test partners告知之後,廠家已經在2周内釋出了固件更新。
在此之前,pen test partners的研究人員們還曾搞定過智能冰箱、燒水壺、gopro相機、智能電視、甚至bb-8星戰玩具。
本文轉自d1net(轉載)