安全顧問為了讓他吵鬧的鄰居閉嘴,黑進了一家膠囊旅館


安全顧問為了讓他吵鬧的鄰居閉嘴,黑進了一家膠囊旅館

一名安全研究員為了給他吵鬧的鄰居一個教訓,入侵了一家酒店,——他可以控制鄰居的燈、床和風扇。這是智能設備缺乏足夠保護的又一個例子。

這一切都是我在國外度假時發生的。我在膠囊酒店預訂了一個房間,我注意到他們使用了幾種不同的技術來管控房間的設備,」LEXFO的安全顧問Kya Supa在2021年黑帽美國會議的發言開始時說。

「膠囊旅館」指的是並排的小房間,裡面只有一張床。房間通常用窗簾隔開,浴室和客廳位於公共區域。

一般來說,這種住宿很便宜,客人們也都很安靜,並互相尊重。但是鮑勃是個例外。Supa的鄰居名叫鮑勃(Bob),他在午夜過後會一直打電話。

「他在凌晨2點打電話,而且聲音非常大,我被他吵醒了。」Supa回憶說。

由於這事讓Supa心煩意亂,他禮貌地要求鄰居小聲一點。但是鮑勃仍然我行我素,Supa決定給他一個教訓。

「我很重視睡眠。我想,如果我能控制他的房間,讓他度過一個愉快的夜晚,那就太好了。」

Supa發現,進入地板需要一個NFC徽章,而房間是由一個使用藍牙和WiFi的iPod touch控制的。經過一番搜查,他發現每個房間都有兩個Nasnos物聯網設備。iPod是在所謂的「引導訪問」(Guided Access)的控制下運行的——它鎖定設備並運行單一的應用程式。Supa控制了設備,他還發現Nasnos網絡使用了過時的WEP協議。最後,他利用了六個漏洞控制了他吵鬧的鄰居的房間和整個酒店。

晚上,Supa每隔兩個小時就會把鮑勃房間裡的燈打開然後關掉,把他的床弄塌。Supa後來聯繫了酒店,酒店的管理人員把設備控制轉向了更安全的架構。

Supa只是想提高人們的安全意識。物聯網設備廣泛地分布在生活,大多數攻擊者都有惡意的目的。

「我認為家庭環境有點像咖啡店的環境,這意味著大多數情況下,很多的家庭的網絡都不安全。他們有很多物聯網設備,其中很多都容易被攻擊者利用,」總部位於科羅拉多州的網絡安全公司Enzoic的首席技術官邁克·威爾遜(Mike Wilson)曾告訴CyberNews。

物聯網消費設備被認為是企業網絡的最大威脅之一。大多數家庭用戶沒有時間或意願更新每台設備上的密碼或系統。在這個時候,如果勒索軟體攻擊者掃描網絡,他們將會很容易的在這些家庭物聯網設備上找到入口點。

相關文章  美軍「自由航行」釀大禍!146架戰機一頭扎進大海,800名士兵喪命