“

網路安全公司賽門鐵克（Symantec）於近日發文稱，一些未得到安全保護的LED燈泡可能會遭到駭客的遠端劫持，並洩露你的密碼。

用於家庭的物聯網（IoT）裝置越來越受到消費者青睞。在這個奇妙的聖誕，許多人可能已經購買更多智慧家居裝置來裝點自己的家。 每個裝置都有一個智慧版本，可以整合到家庭網路中。從微波爐到熱水器，從取暖器到煙霧探測器。

在物聯網裝置所面臨的各種攻擊風險研究中發現，遠端控制的全綵LED燈泡中存在一些安全問題。賽門鐵克表示， 這是一個低價品牌的燈泡，可以在許多線上商店購買，易於使用，並與流行的語音啟用智慧助手整合。 為了最大限度地設定和使用燈泡的功能，使用者必須安裝智慧手機應用程式並建立一個免費帳戶。 然後燈泡將被新增到本地Wi-Fi網路，並可透過網際網路進行遠端控制。

01

洩露登入資訊

研究員表示，在分析網路流量時注意到的第一件事是，智慧手機應用程式主要使用普通HTTP請求與雲後端進行互動。只有少數請求（例如註冊新使用者或登入）透過HTTPS加密傳送。

不幸的是，一些未加密的請求包含許多個人敏感資訊。例如，當用戶決定更改燈泡名稱時，將傳送一個未加密的POST請求，其中明確包含了使用者的電子郵件地址和未加密的密碼MD5雜湊值（又稱雜湊函式，是一種從任何一種資料中建立小的數字“指紋”的方法）。這意味著任何有權訪問網路的人都可能會嗅探此流量並強制密碼雜湊。如果密碼不是很複雜，攻擊者很有可能破解密碼。更糟糕的是，該應用程式不提供更改密碼的選項。

一旦使用者選擇更改燈泡名稱，攻擊者就可藉此獲取這些資料，登入該帳戶並接管所有使用者的燈泡。

這不是我們看到以明文形式傳送資訊的唯一裝置。 不幸的是，許多裝置和應用程式仍然使用未加密的流量。

圖1。 POST請求洩露敏感資訊

透過燈泡收集更多資訊

後端的API允許使用者透過傳送該裝置的MAC地址來查詢與特定燈泡相關聯的使用者帳戶。 但是不會透過驗證來確定用於查詢裝置的使用者帳戶是否實際與該裝置相關聯。

因此，攻擊者只需要利用一個已經過身份驗證的活動會話，就可以猜測或暴力破解目標裝置的MAC地址。

此方法允許攻擊者列舉所討論供應商的所有可能MAC地址，並找到任何已啟用且可遠端控制的燈泡。 反之，透過任意一個裝置，攻擊者都能夠接收到以明文形式傳輸的唯一ID和使用者郵件地址（一個未加密的HTTP GET請求）。

攻擊者可以使用此技巧收集有效的電子郵件地址並將其用於進一步的攻擊，例如垃圾郵件，或使用收集的資訊來攻擊燈泡本身。

圖2。透過接管的燈泡收集電子郵箱地址

完全操控LED燈泡

一旦找到可被遠端控制的裝置，攻擊者就可以與裝置進行互動。 此操作不需要知道密碼。 與列舉弱點類似，所需要的只是經過身份驗證的會話和裝置的MAC地址。 每個燈泡可以由多個使用者控制，因此也可以連結到多個帳戶。

建立連線後，攻擊者可以關閉或開啟燈，更改顏色或重新命名。 攻擊者可以完全控制燈光，就像它們自己的家一樣。

雖然該供應商先前已經將應用程序升級，並使用了更安全的API函式。 遺憾的是，由於遺留原因，舊API仍在接受不安全的請求。

IoT

總結

這只是一個例子，展示了IoT裝置中仍然存在許多需要修復的簡單安全漏洞。 並不總是需要花哨的攻擊來接管這些裝置。 有時，正如在這種情況下所證明的那樣，簡單的設計錯誤足以將使用者的私人資料和裝置暴露給公共網際網路，任何人都可以接管這些智慧燈泡並控制它們。

此類物聯網裝置的購買者需要了解他們自己面臨的潛在風險。隨著攻擊的進行，攻擊者遠端控制你的智慧燈泡可能不會那麼嚴重，但它可能會令人不安，而且這可能只是更大攻擊場景的第一步。因此，在安裝智慧裝置時，請務必遵循一些基本準則：

◇安裝期間更改任何預設密碼。

◇使用具有強密碼的專用帳戶來設定裝置。

◇每當釋出新版本時，請更新韌體和智慧手機應用程式。

◇考慮裝置是否需要網際網路連線或本地網路已經足夠。

◇驗證裝置的配置是否符合您的需求。

◇關閉未使用或不需要的功能和服務，如遠端控制。

本文內容譯自賽門鐵克《How the Grinch Stole Your Christmas Lights： Leaky LED Bulbs Could be Remotely Controlled》。