隶属于 Pen Test Partners 公司的 Andrew Tierney 和 Ken Munro 两位英国籍资安研究员本周在 DefCon 资安大会展示了世界上第一个可以感染智能恒温器的勒索病毒。在网络时代,勒索病毒影响的范围可能不只电脑或手机,更扩及了物联网设备(Internet of Things,IoT)。
如果你曾经收到过勒索病毒(ransomware),你一定很惊讶于它的强大破坏力。一旦中毒,它将可以取得你电脑里面众多档案格式的资料授权进而加密,若没有在期限内缴出赎金,勒索病毒将直接删除这些电脑资料。一般而言要求赎金的形式为比特币(Bitcoin)。
物联网恒温器使用的 Linux 电脑系统,让使用者运用 SD 卡上传相关装置设定;而 SD 卡正是安装恶意程式使用的装载工具,攻击者透过这个方式可以取得恒温器的控制权。这个病毒需要攻击者主动触发,或使用者“被欺骗”而主动引进这个恶意程式到他们的恒温器中。
目前研究员仅先行“弱点揭露”,并尚未公布该恒温器的产品名称及制造商,也尚未联系该厂商进行后续的系统维修及更正。幸运的是,研究员表示,这是一个容易处理的小问题。
这个研究透露出物联网产品的脆弱,多数产品都仍有很高的可能将使用者暴露在资安危机下,包含网络上众多的使用者密码、或明文公布 Gmail 账号等。在这些物联网产品逐渐成为居家的主流电器商品之下,我们似乎更应该看到其中严重的个资问题。
参考资料
- Thermostats can now get infected with ransomware, because 2016
(首图来源:Pen Test Partners)
