2019世界移動(dòng)通信大會(huì)（MWC）正在巴塞羅那如火如荼進(jìn)行當(dāng)中，作為全球通信領(lǐng)域最具規(guī)模和影響力的展會(huì)，MWC一直都是各通信廠商激烈角逐的舞臺(tái)：華為折疊屏、OPPO十倍混合光學(xué)變焦、5G無人船……目不暇接的顛覆性科技創(chuàng)新吸睛無數(shù)，全方位釋義5G時(shí)代“智聯(lián)萬物”的新價(jià)值和新機(jī)會(huì)。

5G正加速向我們走來，安全性的擔(dān)憂也一直是繞不開的話題。在一個(gè)不那么熱鬧的MWC展臺(tái)，著名安全服務(wù)提供商McAfee也帶著憋了一年大招閃亮登場(chǎng)。McAfee的高級(jí)威脅研究團(tuán)隊(duì)公布了物聯(lián)網(wǎng)設(shè)備上的2個(gè)新漏洞，分別是知名智能鎖BoxLock和美國咖啡機(jī)第一品牌Mr. Coffee的新漏洞，可以讓網(wǎng)絡(luò)犯罪分子有機(jī)可乘，使得消費(fèi)者的個(gè)人數(shù)據(jù)和家庭網(wǎng)絡(luò)被非法訪問。McAfee提醒消費(fèi)者在接入以上兩個(gè)設(shè)備之前，必須知曉其可能帶來的安全風(fēng)險(xiǎn)。
 

1、BoxLock安全漏洞

BoxLock是一種保護(hù)快遞交貨安全的智能掛鎖，由硬化鋼鎖扣、掃描按鈕、防水防曬外殼、電池、USB充電口、掃描器5部分組成，通過掃描有效的條形碼開鎖。

它存在一個(gè)漏洞，讓黑客可以遠(yuǎn)程解鎖。研究人員成功使用藍(lán)牙低功耗（BLE）內(nèi)置條碼掃描儀打開BoxLock，這是一種在物聯(lián)網(wǎng)和智能設(shè)備中普遍使用的無線技術(shù)。研究人員表示，用來發(fā)送藍(lán)牙GATT命令的手機(jī)從未連接過BoxLock，也沒有安裝BoxLock應(yīng)用程序，但它能解鎖BoxLock，這不得不引起制造商的重視。

漏洞披露對(duì)任何公司都是具有挑戰(zhàn)性的問題。研究人員十分肯定BoxLock做法，收到消息后，BoxLock迅速回應(yīng)并認(rèn)可研究團(tuán)隊(duì)的發(fā)現(xiàn)，著手修復(fù)漏洞。
 

2、Mr. Coffee安全漏洞

在MWC上公布的第2個(gè)漏洞是Mr. Coffee的安全漏洞：Mr. Coffee智能咖啡機(jī)為黑客提供了進(jìn)入家庭網(wǎng)絡(luò)的后門。Mr. Coffee智能咖啡機(jī)是指Mr. Coffee和貝爾金聯(lián)手推出一款WiFi咖啡機(jī)，用戶可以在手機(jī)或平板電腦上使用貝爾金WeMo應(yīng)用程序控制該款咖啡機(jī)。

研究人員表示，黑客可以入侵使用WeMo平臺(tái)的Mr. Coffee咖啡機(jī)，更改沖泡計(jì)劃，甚至能夠利用固件中的漏洞寫入新的指令，據(jù)稱這是代碼問題引發(fā)的漏洞，由缺乏輸入過濾和驗(yàn)證的代碼策略導(dǎo)致。

研究人員表示，該漏洞讓入侵者可以上傳任何模板，并讓能順利通過所有WeMo驗(yàn)證步驟。研究人員成功添加了一個(gè)名為“hack”的新模板，并在模板中添加了一個(gè)代碼塊來下載和執(zhí)行shell腳本。

現(xiàn)在，只需坐下來等待咖啡機(jī)（在我指定的時(shí)間延遲）連接到我的電腦，下載我的shell腳本并運(yùn)行它。一切運(yùn)行過程都符合預(yù)期。此漏洞要求入侵者訪問與咖啡機(jī)所在的同一網(wǎng)絡(luò)。根據(jù)用戶密碼的復(fù)雜程度以及當(dāng)今的計(jì)算能力，破解WiFi是一件輕而易舉的事。

Mr. Coffee詳細(xì)破解過程如下：

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/your-smart-coffee-maker-is-brewing-up-trouble/
 

結(jié)語

這兩個(gè)漏洞都表明，漏洞利用有時(shí)候比想象的簡單得多，并不用花費(fèi)多大精力，對(duì)黑客來說更是小菜一碟的事。即使聯(lián)網(wǎng)設(shè)備不包含敏感數(shù)據(jù)且僅限于本地網(wǎng)絡(luò)，也不能避免惡意黑客的攻擊。聯(lián)網(wǎng)智能設(shè)備是5G時(shí)代的最易受攻擊的目標(biāo)，因?yàn)閺陌踩慕嵌葋砜?，這些設(shè)備往往被忽視，并且可以為您的家庭或企業(yè)網(wǎng)絡(luò)提供簡單且不受監(jiān)控的中介點(diǎn)。

根據(jù)傻蛋聯(lián)網(wǎng)設(shè)備搜索系統(tǒng)，全球聯(lián)網(wǎng)設(shè)備的分布如下圖（顏色越深，表示聯(lián)網(wǎng)設(shè)備分布越密集），中國、美國擁有的聯(lián)網(wǎng)設(shè)備數(shù)均超過了全球的10%。

McAfee研究員兼首席科學(xué)家Raj Samani在MWC上表示：“網(wǎng)絡(luò)罪犯是無處不在并且無孔不入的，只要我們繼續(xù)將設(shè)備連接到互聯(lián)網(wǎng)，黑客就會(huì)繼續(xù)尋找利用漏洞的方法。”

因此，這要求物聯(lián)網(wǎng)設(shè)備供應(yīng)商與專業(yè)安全研究人員共同致力于保障產(chǎn)品的安全性，以降低消費(fèi)者使用時(shí)的安全風(fēng)險(xiǎn)。

對(duì)于使用連接設(shè)備的消費(fèi)者和制造他們的企業(yè)，漏洞披露可能會(huì)令人恐慌，然而，這個(gè)過程是創(chuàng)造更安全未來的必經(jīng)之路。網(wǎng)絡(luò)安全研究人員，監(jiān)管單位、企業(yè)、消費(fèi)者共同努力揭露并消除這些漏洞，方能使我們領(lǐng)先于犯罪。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì) 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:網(wǎng)絡(luò)

如涉及侵權(quán)，請(qǐng)及時(shí)與我們聯(lián)系，我們會(huì)在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明