- A+
市场上可以安装数百万个智能锁,以提供更高的安全性,使您可以轻松进入家中。 但是, 数字取证专家刚刚报告发现了一个漏洞,该漏洞一旦被利用,威胁者就可以轻松进入您的家中。
芬兰的安全公司F-Secure报告了KeyWe智能锁的一个缺陷,该锁被称为“有史以来最智能的锁”。 在亚马逊等网站上,该设备的价格约为155美元,可以通过移动应用进行操作。
数字取证专家团队发现,威胁执行者可以拦截应用程序与设备之间的流量,并通过中间人 (MiTM)攻击在过程中提取解锁密钥。
F-Secure的成员Krysztof Marciniak提到:“这种智能锁的设计使您能够避开某些安全机制,以便能够轻松掌握间谍软件和锁之间的通信,这对于黑客来说是必不可少的。” 更糟糕的是,专家表示,无法减轻利用此漏洞的风险,因此,该设备的所有用户都将保持暴露状态。 在报告中,专家补充说,有可能使用网络跟踪设备进行攻击,而市场上的网络跟踪设备起价为10美元。
在这方面,KeyWe提到该漏洞已通过发布一些更新补丁得到纠正,但是,专家声称,智能锁的固件不允许进行空中更新(根据Wikipedia ,这是一种形式的概念软件分发,配置设置和安全更新)。
KeyWe随后发表声明说:“对于这些不便,我们深表歉意。 用户的安全是我们的首要任务; 另一方面,Amazon尚未响应其在线商店中有关受影响产品的可用性信息的请求。
数字取证专家提到, 物联网 (IoT)设备的主要问题在于当前没有适用于该技术的网络安全标准,因此无需发布新设备即可进行测试,而无需先进行测试。
此外,由于无法更新这些设备的固件,因此用户将一直处于暴露状态,直到公司找到有效解决此漏洞的方法,或者直到用户决定卸载此工具为止。 应该注意的是,最新版的智能锁在发布到市场之前已经被完全纠正。
为了安全起见,F-Secure没有公开披露有关该漏洞的更多技术细节,因此该报告仅发送给该公司。 据国际网络安全研究所(IICS)的数字取证专家称,即使该应用程序与智能锁之间的通信已加密,也有可能拦截它们并收集用于打开锁的关键命令,这是一个相对简单的过程,知道从哪里开始攻击的黑客。
他是移动安全和恶意软件分析方面的著名专家。 他曾在纽约大学学习计算机科学,并于2003年开始担任网络安全分析师。他积极从事反恶意软件专家的工作。 他还曾在卡巴斯基实验室等安全公司工作。 他的日常工作包括研究新的恶意软件和网络安全事件。 此外,他在移动安全和移动漏洞方面拥有丰富的知识。
