物联网安全漏洞!LED灯泡被入侵 所幸已修补

英国资安研究公司Context Information Security发布声明警告所有物联网相关公司表示,由LIFX公司所生产,支持无线连网的LED灯泡存在着安全风险。“很明显地,在这股物联网浪潮中,这些需要网络连线的设备,在安全性的要求上,并没有到达它们该有的优先等级。” Context的研究总监Michael Jordon表示。“我们也在其他像是家庭储存设备、打印机,和婴儿监视器等设备上发现许多安全弱点。物联网的安全标准需要被认真看待,尤其是在这些公司准备将重要的设备与系统连上网络的之前。”Jordon补充。

图片来源: LIFX

这些由新创科技公司LIFX生产的LED灯泡,采用802.15.46LoWPAN网络,让灯泡可以在连接Wi-Fi后透过手机App连结进行遥控。只要监听网络封包,即可透过这些灯泡发现加密的网络设定讯息。基本上,要了解所使用的加密方式,Context公司必须将两个微控系统单元(TI及 STM,均为Cortex-M3)与JTAG测试用连接埠连线,一但连结上之后,就可以读取加密演算法、金钥和无线网状网络协定。这些资料将让公司或企业可以置入网络封包,而这些动作将不会被侦测到。

Context随后和LIFX合作发布了韧体更新,已修补这个漏洞,现在所有6LoWPAN网络都需要使用从Wi-Fi认证机构导入的加密金钥,而LIFX新生产的灯泡也已都加入此安全机制。

“入侵灯泡并不是一件芝麻绿豆的小事,而是可能会造成网络犯罪。”Jordon说明,“在某些情况下,这些弱点可以被轻易的补强,就如同LIFX的开发者所示范的一样。在其他情况中,这些安全漏洞可能存在于产品设计的根基中。最重要的是这些安全措施必须从一开始,就被建立在所有物联网设备里,虽然目前看起来有许多物联网公司都存在这样的问题,但当安全问题被发现时,就能在使用者受害前提早修补。”Jordon强调。

 

来源:科技新报

如需获取更多资讯,请关注LEDinside官网(www.ledinside.cn)或搜索微信公众账号(LED在线)。

【版权声明】
「LEDinside - LED在线」所刊原创内容之著作权属于「LEDinside - LED在线」网站所有,未经本站之同意或授权,任何人不得以任何形式重制、转载、散布、引用、变更、播送或出版该内容之全部或局部,亦不得有其他任何违反本站著作权之行为。
【免责声明】
1、「LEDinside - LED在线」包含的内容和信息是根据公开资料分析和演释,该公开资料,属可靠之来源搜集,但这些分析和信息并未经独立核实。本网站有权但无此义务,改善或更正在本网站的任何部分之错误或疏失。
2、任何在「LEDinside - LED在线」上出现的信息(包括但不限于公司资料、资讯、研究报告、产品价格等),力求但不保证数据的准确性,均只作为参考,您须对您自主决定的行为负责。如有错漏,请以各公司官方网站公布为准。