近日,网络安全团队思科Talos发布了一份漏洞分析报告称,他们在三星SmartThings Hub智能家居设备中发现了20个新漏洞,为网络攻击者提供多种攻击受害者家庭物联网(IOT)的能力。
据了解,SmartThings的主要用途就是连接各个不同厂商的产品,让用户监控、控制和自动操作家庭中的各种连接设备,比如智能插头、LED灯泡、监控摄像等。而这款类似于“大脑”的核心产品,却被曝出存在被入侵的可能性。
报告指出,攻击者可以利用这些漏洞获得访问用户敏感信息的权限,进而控制家中其他设备,执行未经授权的指令。比如,通过摄像头远程监视家中情况,禁用报警系统等。
不过,攻击者想利用漏洞发起攻击并不容易,他们需要同时结合多个漏洞才能完成入侵。目前已知的攻击链有三种。研究人员同时表示,思科Talos已经和三星紧急推出了最新的安全补丁修复漏洞。
危险的系统漏洞
据国外媒体Threatpost报道,一名三星发言人表示,目前已经部署了安全补丁来修复这些漏洞。“我们意识到了SmartThings Hub V2的安全漏洞,并发布了一个自动更新补丁来解决这个问题。”市场上所有在售的SmartThings Hub V2设备都是最新更新的。
此前,三星SmartThings平台就曾被曝出存在多个设计缺陷。比如,利用软件漏洞可以解锁车门,通过虚假的信息设置打开智能锁等。
密歇根大学计算机科学与工程系教授Atul Prakash曾表示:“SmartThings这样需要通过App访问其它连接对象的智能家居平台,其实在出现漏洞的时候非常危险。打个比方,如果你能够让别人控制办公室的灯,那么就同样有机会让别人获得整个办公室的权限,甚至包括保险柜里的内容。”
一个月前的三星Messages漏洞
在三星SmartThings平台曝出大量漏洞以前,三星Messages在今年6月升级出现一个漏洞,一些设备会在用户不知情的情况下发出照片。一些用户报告称,受影响的照片是他们以前自己发送过的,还有一部分则称他们整个图片库的照片都被发了出来。
Reddit一位用户表示,S9偶尔会把他图片库里的全部内容通过SMS的形式发给其他人,并且发送的内容不会在自己这边出现。该名用户建议最好检查下设备的运营商网站日志。
另一名用户也表示遇到了类似的情况,他自己和妻子用的手机都发生了同样的情况。
许多Galaxy S9和Note 8用户都上报了类似的经历,不过看起来这个问题同样也出现在了三星其他手机上。
目前几乎可以肯定的是,Samsung Messages最新的更新引发了这个问题,所以如果还没有安装更新的用户眼下最好先不要安装。如果安装了也没关系,因为现在可以通过一定的措施让该问题暂时得到解决,即通过禁用Samsung Messages的储存权限,这可以在设置->应用->Samsung Messages->权限->储存完成。不过一旦取消了该权限,用户将无法通过Messages附加和发送照片。
在追求差异化的过程中,大品牌往往会尝试打造专属的应用或者系统,以提升综合竞争力或软性价值,但在追求差异化的过程中,细节恐怕还是得再三小心。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
