从扫地机器人到灯泡,物联网设备存在许多资安隐忧已经不是什么秘密,最近有研究员也瞄准上最新的对象:智慧咖啡机。
试着想像当你一早走入厨房,拿起杯子想冲杯咖啡提神,此时咖啡机突然发出刺耳的蜂鸣声,喷洒热水并不断旋转研磨机,屏幕上显示著恶魔的头像,写着:想要回你的咖啡机?先缴付赎金到以下账户。
这正是 Avast 研究员 Martin Hron 近期对价值 250 美元 Smarter 推出的智慧咖啡机所做的尝试。尽管绑架咖啡机听起来毫无意义,但 Hron 只是希望透过此次实验证明一些观点。
Hron 表示,有网友提出一种说法,即针对 IoT 设备的威胁不仅是路由器问题或暴露于公开网络,而是 IoT 设备本身就很脆弱,即使不倚靠前两种手段也能轻松入侵。
为了测试这项观点是否正确,Hron 花了一周的时间进行逆向工程研究,详细流程已在 Blog 文章中讲述。简而言之,Hron 发现咖啡机在 Wifi 连接上与固件更新程式的突破口,之后编写 python 脚本模仿更新程式来实施修改后的内容,之后便达成开头所说的勒索赎金情况。
Hron 表示,最初他曾想证明设备可以被用来挖矿,考虑到 CPU 和结构是可行的,但是在 8MHz 的速度下,挖矿的产值基本可以被忽略不计,最后才决定以勒索软件形式进行,而这项实验也证明,同样情况可能会发生在所有的设备。
“这是一个很好例子来说明开箱即用产品的问题。你不需要设定任何东西,而供应商通常也不会考虑这一点。”
当然,使用者可以简单透过拔掉插头来暂时解决问题,而绑架也有一些非常明确的限制存在,但其中隐藏的意义更令人担忧。
Hron 指出,透过这种作为,攻击者可以使智慧设备无法接收未来官方提供的修补程式来修复漏洞,也可以在不触发警告下攻击同一网络上的其他设备,家电设备的生命周期动辄数十年,但 IoT 设备厂商又计划维护软件多久呢?
“……在 IoT 设备普及和不良维护态度下,我们正在打造出一支被遗弃、容易受攻击的队伍,这些设备可能被滥用,背用来骇入网络、泄漏数据、使用勒索软件攻击或 DDoS。”
- This Hacked Coffee Maker Demands Ransom and Demonstrates a Terrifying Implication About the IoT
(首图来源:pixabay)