美國(guó)黑客組織GTVHacker本周曝光了Nest智能恒溫器Nest Learning Thermostat的一個(gè)漏洞。通過該漏洞��,黑客可以基于運(yùn)動(dòng)探測(cè)器信息、網(wǎng)絡(luò)流量����,或房間溫度來了解用戶是否正在家中�,同時(shí)不必開啟這一設(shè)備����。通過Nest智能恒溫器,用戶可以獲得很多有趣的智能功能����,例如徹底替代Nest的軟件。
那么這一攻擊需要如何實(shí)施����?與攻擊其他移動(dòng)設(shè)備或互聯(lián)家居設(shè)備的方法類似��,黑客需要首先獲得一臺(tái)Nest智能恒溫器����。就我們所知,目前沒有任何設(shè)備遭到遠(yuǎn)程入侵”����。因此對(duì)大部門用戶而言,不必?fù)?dān)心黑客闖入家中�,對(duì)自己的設(shè)備進(jìn)行修改����。這看起來像是正當(dāng)更新��,但留下了一個(gè)后門�����,而設(shè)備所有者甚至完全不會(huì)意識(shí)到發(fā)生了任何改變��。
根據(jù)GTVHacker的說法��,這種攻擊利用了Nest智能恒溫器加載軟件的通道(這需要用到USB端口�,因此黑客必需實(shí)際獲得設(shè)備),從而運(yùn)行其Boot-Loader����,并在Root權(quán)限下添加一個(gè)SSH服務(wù)器。對(duì)于這一動(dòng)靜����,Nest回應(yīng)稱,該團(tuán)隊(duì)的軟件“沒有破壞我們服務(wù)器及其連接的安全性���。然而����,其中的漏洞也給黑客帶來了可乘之機(jī)。 GTVHacker提供了一段具體視頻���,而該團(tuán)隊(duì)將在今年8月的DEFCON大會(huì)上詳細(xì)演示這種攻擊方式���。
粵公網(wǎng)安備44011302004697
