尽管越来越多的公司将注意力转向物联网,但人们对连接家庭设备的安全性仍然存在疑问。在这些系统如何被破坏的最新例子中,密歇根大学的一个团队黑客了三星的Smart ThingsIoT平台。
这三位研究人员得到了微软的部分赞助,他们展示了四个使用恶意应用程序的概念验证黑客。他们能够远程打开电子激活门锁,触发警报,并改变智能家居的设置。
根据研究人员的说法,主要的问题是,在他们调查的499个Smart Things第三方应用程序中,55%的人被发现“特权过高”,这意味着他们要求获得更多的Smat Things设备的访问特权,而不是所需的特权。此外,42%的应用程序被授予从未被明确要求的特权。
“我们的主要发现有两个方面。首先,虽然Smart Things实现了特权分离模型,但我们发现Smart Apps可能被过度特权。也就是说,Smart Apps可以在设备上获得比其功能所需的更多操作,”研究人员说。
“其次,Smart Things事件子系统,即设备通过事件与Smart Apps进行异步通信的子系统,没有充分保护携带诸如锁定PIN码等敏感信息的事件。”
密歇根大学的Unversity在过去几周里一直与三星合作,所有的安全问题现在都得到了解决。有人指出,没有任何漏洞影响任何Smart Things客户。
一位精明的代表作了以下发言:
报告中披露的潜在漏洞主要取决于两种场景——安装恶意的SmartApp或第三方开发人员未能遵循Smart Things准则如何保持代码安全。在本报告之后,我们更新了我们的内容,以便为开发人员提供更好的安全指导。
智能家居设备及其相关编程平台将继续扩散,并将继续吸引消费者,因为它们提供了强大的功能。然而,本文的研究结果表明,谨慎也是必要的-在早期采用者方面,以及框架设计者方面。这些风险是巨大的,不太可能通过简单的安全补丁轻易解决。
在连接的家用设备中发现了几个安全漏洞。据报道,早在一月份,一位研究人员就发现他可以使用一种专门搜索物联网设备的浏览器查看脆弱的网络摄像头,包括婴儿监视器。