英國資安研究公司 Context Information Security 發(fā)布聲明警告所有物聯(lián)網(wǎng)相關(guān)公司表示,由 LIFX 公司所生產(chǎn),支持無線連網(wǎng)的 LED 燈泡存在著安全風險。“很明顯地,在這股物聯(lián)網(wǎng)浪潮中,這些需要網(wǎng)絡(luò)連線的設(shè)備,在安全性的要求上,并沒有到達它們該有的優(yōu)先等級。” Context 的研究總監(jiān) Michael Jordon 表示。“我們也在其他像是家庭儲存設(shè)備、打印機,和嬰兒監(jiān)視器等設(shè)備上發(fā)現(xiàn)許多安全弱點。物聯(lián)網(wǎng)的安全標準需要被認真看待,尤其是在這些公司準備將重要的設(shè)備與系統(tǒng)連上網(wǎng)絡(luò)的之前。”Jordon 補充。
這些由新創(chuàng)科技公司 LIFX 生產(chǎn)的 LED 燈泡,采用 802.15.46LoWPAN 網(wǎng)絡(luò),讓燈泡可以在連接 Wi-Fi 后透過手機 App 連結(jié)進行遙控。只要監(jiān)聽網(wǎng)絡(luò)封包,即可透過這些燈泡發(fā)現(xiàn)加密的網(wǎng)絡(luò)設(shè)定訊息。基本上,要了解所使用的加密方式,Context 公司必須將兩個微控系統(tǒng)單元(TI 及 STM,均為 Cortex-M3)與 JTAG 測試用連接埠連線,一但連結(jié)上之后,就可以讀取加密演算法、金鑰和無線網(wǎng)狀網(wǎng)絡(luò)協(xié)定。這些資料將讓公司或企業(yè)可以置入網(wǎng)絡(luò)封包,而這些動作將不會被偵測到。
Context 隨后和 LIFX 合作發(fā)布了韌體更新,已修補這個漏洞,現(xiàn)在所有 6LoWPAN 網(wǎng)絡(luò)都需要使用從 Wi-Fi 認證機構(gòu)導入的加密金鑰,而 LIFX 新生產(chǎn)的燈泡也已都加入此安全機制。
“入侵燈泡并不是一件芝麻綠豆的小事,而是可能會造成網(wǎng)絡(luò)犯罪。”Jordon 說明,“在某些情況下,這些弱點可以被輕易的補強,就如同 LIFX 的開發(fā)者所示范的一樣。在其他情況中,這些安全漏洞可能存在于產(chǎn)品設(shè)計的根基中。最重要的是這些安全措施必須從一開始,就被建立在所有物聯(lián)網(wǎng)設(shè)備里,雖然目前看起來有許多物聯(lián)網(wǎng)公司都存在這樣的問題,但當安全問題被發(fā)現(xiàn)時,就能在使用者受害前提早修補。”Jordon 強調(diào)。