金融价值网
在连接产品的制造商未能保护所述产品的又一示例中,三星的连接冰箱允许恶意人员窃取消费者的Gmail登录凭证,前提是他们可以进入用户的wi-fi网络。这种被称为中间人攻击的漏洞之所以成为可能,是因为三星智能冰箱允许人们将他们的Gmail日历链接到冰箱门的屏幕,这样他们就可以看到他们当天的事件。
这是一个方便的功能,除了当一个人登录时,冰箱说它提供了SSL加密,但实际上无法验证Google端上的服务器是否具有正确的证书来实际获取加密数据。它只是把它交给了。这类似于一家俱乐部说它检查身份证只是为了让人们进入,而没有真正查看这些身份证上的日期。因此,消费者wi-fi网络上的任何人都可以假装是Google的日历服务,并窃取消费者的Gmail登录凭据。从那里,黑客可能会造成各种破坏。《财富》杂志已经联系了三星,看看它对这个漏洞有什么看法。
该漏洞是在本月初的Defcon活动中的黑客马拉松中发现的,并在周一早上的Register中进行了覆盖。pen Test合作伙伴发现了弱点,并在博客上写了有关该漏洞以及它如何系统地尝试攻击冰箱的信息。
这篇博客文章最棒的地方是,它清楚地展示了某人试图破坏互联产品安全性的心态。失败只是暂时的挫折,因为他们没有尝试正确的密码或在此特定设置中有足够的时间。例如,查看此部分的信心 (强调我的)
我们拆开了移动应用程序,并在密钥库中找到了我们认为是证书的东西。我们 “相信” 我们这样做是因为它有一个名字暗示了这一点。但是,它是正确的密码,我们尚未提取打开密钥存储区的密码。我们认为我们已经在客户端代码中找到了证书的密码,但是它被混淆了,我们还没有办法颠倒它。
这里的挑战是,互联产品被不一定熟悉安全性重要性的制造商投放市场。在某些情况下,他们合法地不知道威胁,但在另一些情况下,他们采取了他们认为更具成本效益的路线,认为他们可以在以后增加安全性。他们不能: 必须从头开始在这些产品中设计安全性。第二个挑战是,许多供应商都依赖消费者对安全性的了解远远超过他们。
在消费者失去信任和监管机构决定参与之前,互联网连接设备行业需要迅速成长并迅速发展。今天是一家安全公司展示了一个漏洞,但明天很可能是一个勒索道德主义者的团队或试图推翻一家公司的团体。
