[通过巢中的评论更新]

“你好,戴夫。”

以上:UCF的Daniel Buentello在黑帽子

图像

2001年的Hal,Rogue Computer不朽的话:一个空间奥德赛,在谷歌嵌套设备控制系统的显示屏上显示。这不应该发生。

但是,本周黑色帽子安全大会的黑客使这些词在巢展上出现在他们展示他们在观众面前的百分之一的设备中的损害之后。可以控制恒温器或照明的巢设备的漏洞显示了安全性的缺陷,可以减慢急于将我们所有的设备连接到互联网上所谓的“互联网”。黑客智能设备是今年展会的重要主题。[查看我们在这里显示黑帽子和defcon的文化的照片库]。

“这回到了方便的名字中牺牲的主题,”佛罗里达大学学生安全研究员Daniel Buentello说,谈论智能设备的四个演示者之一。“这是一个计算机,用户不能将防病毒放在上面。更糟糕的是,有一个秘密的后门,一个坏人可以永远使用并永远留在那里。这是墙上的文字苍蝇。“

巢使用您的家庭的传感器告诉您何时回家,并将温度调整为您的喜好。如果您下午不在家,巢将使加热器或空调成低电平模式。它的工作方式很好,谷歌今年早些时候支付了32亿美元来获得公司。

“如果我是一个坏人,我会隧道通过我的所有流量隧道,嗅到任何类型的信用卡等信用卡,”布伦特洛说。“这很可怕,因为如果你有电脑,它会崩溃,你把它带到最佳购买。你怎么知道你的恒温器被感染?你不会。“

以上:在黑帽子的UCF yier Jin

事情有一个银轮和黑色显示器。BUENTELLO和团队 - 奥兰多arias,Grant Hernandez,以及Yier Jin(工程教授) - 从2001年开始,流氓电脑的哈尔9000的形象:一个空间奥德赛,在其中心表明他们可以接管机器在舞台上。第二个屏幕显示了这部电影的对话,“我知道你和弗兰克计划脱掉我的连接,我恐怕这是我不能允许发生的事情。”

在一份声明中,巢穴的Zoz Cuccias表示,“所有硬件设备 - 从笔记本电脑到智能手机 - 易受越狱;这不是一个独特的问题。这是一个需要对巢学习恒温器的物理访问的物理越狱。如果有人设法进入你的家并选择他们的选择,他们会安装自己的设备,或者拿珠宝。此潜越狱不会损害我们的服务器的安全性或与他们的连接以及我们的知识,并且没有远程访问和泄露并妥协的设备。客户安全对我们非常重要,我们的最高优先级是远程漏洞。你最好的防御之一是购买DropCam Pro,所以你可以在你不在那里监控你的家。“

巢具有Wi-Fi访问,以便可以从各种传感器发送到它,并获取自动更新和能源使用报告。该设备可以存储两种千兆字节的数据。它具有可充电电池和来自Texas Instruments的可充电电池和ARM Cortex M3处理器。它还具有两个运动传感器,可以检测您是否正在通过房屋移动。

Buentello将通用串行总线(USB)插入设备中以将其放入开发人员模式。当您这样做时,您可以将自己的自定义代码上传到设备中。它具有可配置的启动选项,而且黑客使用它来加载自己的软件,只要他们知道正确的启动引脚配置。没有“链条”的安全程序,金说,对于未来的物联网设备,他建议实施此类预防措施。

“它并不是那么困难,而是目标,”Hernandez在谈话中说。

这允许您损害现有代码,然后放入您自己的代码。然后你重新启动它。Hernandez表示,他可以编程设备,向他发送数据以及实际使用该设备的客户。黑客可以为设备完全root访问,或者几乎可以使用它。

以上:谷歌巢板

图像

黑客没有表明他们可以远程阻止设备。相反,他们需要对设备的物理访问。但这可能不是那么难。您可以购买设备,妥协它们,然后将它们放在eBay上进行转售。

它们能够将数据发送到设备,例如温度数据,休息设置和其他数据等。

攻击设备可能具有严重的后果。Buentello表示,您可以危及一个巢并将其用来损坏其他巢设备,在较大的网络中损坏其他巢设备。它还展示了你生活的方式,这对间谍有用。黑客正在释放巢用户的工具,它们可以修补设备。

“这与正常的恒温器有很多影响,”Hernandez说。“它是您在手机上控制的网络上的一个节点。然后,您可以使用对网络的正常攻击来访问其他设备。“

黑客表示,他们也可以“砖”设备,或禁用它。

Buentello说:“我们正在向这个设备放弃我们的隐私,我们对此一无所知。”

在评论到其他出版物中,谷歌表示,非常少量的设备实际损害,因为它跟踪对设备的更改。金说,“遥远攻击”的可能性仍在调查中。

“这件事总是让我想起了Hal 9000,”Hernandez说。

以上:Google嵌套设备

图像信用:巢