7月26日,网络安全团队思科Talos发布了一份漏洞分析报告称,他们在三星SmartThings Hub智能家居设备中发现了20个新漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。
据了解,SmartThings的主要用途就是连接各个不同厂商的产品,让用户监控、控制和自动操作家庭中的各种连接设备,比如智能插头、LED灯泡、监控摄像等。而这款类似于“大脑”的核心产品,却被曝出存在被入侵的可能性。
报告指出,攻击者可以利用这些漏洞获得访问用户敏感信息的权限,进而控制家中其他设备,执行未经授权的指令。比如,通过摄像头远程监视家中情况,禁用报警系统等。
不过,攻击者想利用漏洞发起攻击并不容易,他们需要同时结合多个漏洞才能完成入侵。目前已知的攻击链有三种。
研究人员同时表示,思科Talos已经和三星紧急推出了最新的安全补丁修复漏洞。
据国外媒体报道,一名三星发言人表示,目前已经部署了安全补丁来修复这些漏洞。“我们意识到了SmartThings Hub V2的安全漏洞,并发布了一个自动更新补丁来解决这个问题。”市场上所有在售的SmartThings Hub V2设备都是最新更新的。
此前,三星SmartThings平台就曾被曝出存在多个设计缺陷。比如,利用软件漏洞可以解锁车门,通过虚***的信息设置打开智能锁等。
密歇根大学计算机科学与工程系教授Atul Prakash曾表示:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果你能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
