據(jù)外網(wǎng)arstechnica報道,三星Smart Home系統(tǒng)存在漏洞,可令黑客遠程攻擊用戶住所,在任何地方都可以打開與系統(tǒng)相連的門鎖。
密歇根大學的幾位學者針對全球領先的物聯(lián)網(wǎng)平臺——三星Smart Things系統(tǒng)設計了幾個概念驗證型病毒,對門鎖的攻擊就屬于其中之一。物聯(lián)網(wǎng)平臺可以讓用戶通過網(wǎng)絡與家里的門鎖、溫度調節(jié)器、烤箱和安全系統(tǒng)等相連接。研究者通過獲取Smart Things系統(tǒng)和相關App所需的訪問令牌(Oauth token)來冒充真實用戶。一旦用戶點擊黑客提供的與三星官方登錄網(wǎng)頁類似的HTTPS協(xié)議鏈接,就可獲取用戶的用戶名和密碼,并借此對用戶所用的設備進行遠程攻擊。
研究者表示,三星Smart Home系統(tǒng)本身存在的兩個漏洞,使得研究者能夠對其進行攻擊,而這兩個漏洞又很難修復。他們還指出消費者應當謹慎思考是否要用這一系統(tǒng)與家里的門鎖和其他保證安全的物品相連。
研究者將在2016年IEEE安全隱私研討會上呈交一份報告,其中指出:“這些漏洞可能會造成房屋被闖入、被盜、用戶獲得虛假消息及用戶財產損失等等威脅,而且受威脅的并不是某一個設備而是全體用戶。”
三星Smart Things官方回應表示,OAuth機制的漏洞已經(jīng)被修復,但是因其并未指出漏洞所在,并對SmartApps Store 中的應用程序的確能夠使得遠程攻擊成立這一事實不斷掩飾,所以修復漏洞的可靠性仍值得懷疑。