|
|
英國資安研究公司 Context Information Security 發佈聲明警告所有物聯網相關公司表示,由 LIFX 公司所生產,支援無線連網的 LED 燈泡存在著安全風險。「很明顯地,在這股物聯網浪潮中,這些需要網路連線的裝置,在安全性的要求上,並沒有到達它們該有的優先等級。」 Context 的研究總監 Michael Jordon 表示。「我們也在其他像是家庭儲存裝置、印表機,和嬰兒監視器等裝置上發現許多安全弱點。物聯網的安全標準需要被認真看待,尤其是在這些公司準備將重要的 裝置與系統連上網路的之前。」Jordon 補充。
圖片來源: LIFX |
這些由新創科技公司 LIFX 生產的 LED 燈泡,採用 802.15.46LoWPAN 網路,讓燈泡可以在連接 Wi-Fi 後透過手機 App 連結進行遙控。只要監聽網路封包,即可透過這些燈泡發現加密的網路設定訊息。基本上,要瞭解所使用的加密方式,Context 公司必須將兩個微控系統單元(TI 及 STM,均為 Cortex-M3)與 JTAG 測試用連接埠連線,一但連結上之後,就可以讀取加密演算法、金鑰和無線網狀網路協定。這些資料將讓公司或企業可以置入網路封包,而這些動作將不會被偵測 到。
Context 隨後和 LIFX 合作發表了韌體更新,已修補這個漏洞,現在所有 6LoWPAN 網路都需要使用從 Wi-Fi 認證機構導入的加密金鑰,而 LIFX 新生產的燈泡也已都加入此安全機制。
「入侵燈泡並不是一件芝麻綠豆的小事,而是可能會造成網路犯罪。」Jordon 說明,「在某些情況下,這些弱點可以被輕易的補強,就如同 LIFX 的開發者所示範的一樣。在其他情況中,這些安全漏洞可能存在於產品設計的根基中。最重要的是這些安全措施必須從一開始,就被建立在所有物聯網裝置裡,雖然 目前看起來有許多物聯網公司都存在這樣的問題,但當安全問題被發現時,就能在使用者受害前提早修補。」Jordon 強調。
《文章授權自科技新報》 物聯網安全漏洞!LED 燈泡被入侵,所幸已被修補