智能照明的缺陷：Check Point 研究表明，黑客能够通过电灯泡攻击商用和家用网络

至顶网收集与安详频道 02月06日 综合动静： 2020 年 2 月 5 日 – 收集安详办理方案提供商Check Point 软件技能有限公司（纳斯达克股票代码：CHKP）的威胁谍报部分 Check Point Research 本日披露了一些裂痕，它们可被黑客用于经受智能电灯及其节制器，进而将打单软件或其他恶意软件撒播到商用和家用收集。

Check Point 研究职员展示了进攻者怎样操作物联网（智能电灯胆及其控桥）对家庭、企业以致伶俐都市中的传统计较机收集提倡进攻。研究职员重点研究了市场领先的飞利浦 Hue 智能电灯胆和桥接器，并发明一些裂痕 (CVE-2020-6007) 应承他们行使 ZigBee 低功耗无线协议（用于节制各类物联网装备）中的长途操作措施侵入收集。

2017 年对 ZigBee 节制智能电灯胆安详性的一项说明昭示，研究职员可以或许节制网端 Hue 电灯胆，并安装恶意固件。因为计划限定，厂商只能修复撒播裂痕，因此进攻者仍可经受方针的 Hue 电灯胆。操作这一遗留裂痕，我们的研究职员抉择更进一步，行使 Hue 电灯胆作为平台来经受电灯胆的节制桥接器，并最终进攻方针的计较机收集。进攻场景如下：

1.黑客节制电灯胆的颜色或亮度，让用户误觉得电灯胆呈现妨碍。该电灯胆在用户的节制应用中表现为“无法会见”，因此用户将实行对其举办“重置”。
2.重置电灯胆的独一要领是将它从应用中删除，然后呼吁节制桥接器从头发明电灯胆。
3.节制桥接器发明受进攻的电灯胆，用户将其从头添加到收集中。
4.然后，装有更新固件的黑客节制电灯胆行使 ZigBee 协议裂痕向节制桥接器发送大量数据，以触发堆缓冲区溢出。另外，这些数据还应承黑客在节制桥接器上安装恶意软件，进而毗连到方针商用或家用收集。
5.恶意软件毗连回黑客。借助已知裂痕（譬喻 EternalBlue），黑客通过节制桥接器侵入方针 IP 收集，以撒播打单软件或特工软件。

Check Point Research 讲话人暗示：“很多人都知道，物联网装备也许带来安详风险，但这项研究表白，纵然是最不起眼的装备（譬喻电灯胆）也会被黑客用于经受收集或植入恶意软件。因此，组织和小我私人必需行使最新修补措施更新装备，并将其与收集上的其他装备隔分开，以限定恶意软件的隐藏撒播，从而掩护自身免遭也许呈现的进攻。在当今伟大的第五代进攻情形中，我们不能忽视任何联网装备的安详性。”

这项研究在特拉维夫大学 Check Point 信息安详研究所 (CPIIS) 的辅佐下完成，并于 2019 年 11 月与飞利浦和 Signify（飞利浦品牌的母公司）配合披露。Signify 确认其产物存在裂痕，并在随后开拓了修补措施(固件 1935144040)，该补丁已通过自动方法举办了相干产物进级。Check Point提议该产物用户搜查自动进级配置，以确保产物进级至最新固件。

“我们理睬将尽统统也许确保我们的产物是种安详，同时掩护用户的隐私不受加害。我们衷心感激Check Point的发明以及后续安详方面的相助，这使我们可以或许实时推出须要的补丁从而停止了我们用户也许面临的风险。”George Yianni，飞利浦 Hue公司技能总监。

Check Point 率先提供整合安详办理方案，以强化并掩护物联网装备固件。依附最近收购的技能，Check Point 可支持组织行使装备自带运行时掩护成果规避其面对的隐藏装备级进攻。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!