您当前位置:首页 > 资讯中心 > 信息安全

三星智能冰箱可导致Gmail身份凭证被窃取

    

 较近物联网又出了新的安全问题,这次安全研究人员从三星智能冰箱里提取出了Gmail认证信息。

 在较近的DEFCON黑客大会上,黑客们提出了一种通过中间人攻击窃取身份认证的法子,并且他们从三星的智能冰箱RF28HMELBSR上成功验证了这个猜想。安全专家Ken Munro表示,联网的智能冰箱是为了展示Gmail日历,其实这点跟其他同类设备没什么区别。登录的用户可以进行更新,并同步Gmail日历数据。虽然由于冰箱通信使用了SSL证书加密,但是黑客可以通过入侵冰箱所在局域网,对冰箱的Gmail日历客户端进行中间人攻击(MITM)以窃取Gmail登录凭证。

 简单来说,三星智能冰箱设计之初可以下载Gmail的日历信息,这意味着它会使用Gmail凭证认证。而该智能冰箱是通过移动app来控制智能家居,尽管它采用了SSL,但却未能验证SSL证书,黑客可以对它进行中间人攻击,而专家们也曾在博客中提到过。

 这些安全专家也尝试给三星智能冰箱提供欺骗性更新,但是需要的参数太多且有点复杂,测试不太好覆盖完全。我们也研究了伪造固件更新的可能性,期间还发现了智能冰箱下载所用的URL,但仍需要研究大量的未知参数来完成这次攻击。当然,这些参数值都不是机密,但是非常难预测。比如一个设备模型的名字,可能是一个随机的序列号。

 在测试期间,专家们还发现了控制智能冰箱的移动app里存在密钥,里面含有用于建立安全通信的数字证书。该证书有着密码保护,但专家们注意到该凭证存储在该移动app中,因此专家们努力尝试猜解密码,从而通过证书认证登录智能冰箱。

 专家表示:“我们本来还想通过USB接口或者JTAG、串行接口对冰箱的终端设备进行访问,但是测试的时间不够了。然而,我们现在已经发现的中间人攻击已经足够黑掉它。”专家们以前也做过类似的测试,今年年初他们发现三星智能电视在公网中发送未加密的语音数据和文本信息,导致黑客可以将其轻松捕获。

 三星表示他们他们极其看重客户的安全,已经在着手处理和调查。

  • 作者:grabsun - 发布时间:2015-12-21 - 点击量:3032
    上一篇:“网络敲诈和有偿删帖”专项整治圆满收官 下一篇:刑法修正案(九):网上造谣传谣入刑
    公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
    联系我们