杀妻、囤炸药、自杀,黑客破解智能门铃戏耍警察,甚至还全程直播
大数据文摘出品
作者:王烨
智能门铃作为智能家居的一部分,正在走进越来越多的家庭。
一般来说,智能门铃会配备摄像头并时时连网,即使用户外出或者在床上睡觉,也可以看到门口24小时的监控情况。
据称,某些门铃还可以监控门口的情况,还宣称能够“识别包裹和熟人的面孔”或者当检测到周围的人员走动或者声音,还可以通知用户。
正是这么一项以安全为卖点的产品,却出现了令人不安的安全漏洞。
近期,FBI通报了一起案件,黑客劫持了受害者的智能家居设备,并向警察局打了假报警电话,警方到达了才发现被戏耍了,黑客还对警察破口大骂,并且在网上对整个过程进行直播,用的正是用户的安全摄像头。
杀妻、囤炸药、自杀,警察疲于应付智能门铃假报警
这种情况出现不是一次两次。
去年11月,NBC 新闻报道了一起案件,警察在接到一个911电话后赶到了佛罗里达州的一户人家,电话里说有人杀死了自己的妻子并且囤积了炸药。
当地警察迅速封锁了现场,还关闭了当地的小学。
当警察过去后,才发现是一场恶作剧,智能门铃被黑客攻击了,报警的是黑客,在警察离去时,黑客还在门铃中破口大骂,场面一度十分尴尬。
在弗吉尼亚州也发生过同样的事件,警察接到一个报警电话,报警的人声称自己想要自杀。
当他们到达报警的地点时,却只能听到黑客在智能门铃中大喊“救命”。
包括在格鲁吉亚,还有报道称,在警察离开后,袭击者对受害者进行种族辱骂,并声称当天已经进行了十几次类似的袭击。
千万不要重复使用密码!
FBI警告说,这种“恶作剧”之所以能够实施,是因为受害者在安装智能设备时重复使用了其他地方的密码。
一般来说,整个智能家居系统都会有一个应用程序或者网站来控制,这就要求用户建立一个账号和密码。
这个账号和密码就是控制所用智能家居设备的钥匙,包括安全门铃。
黑客盯上的就是这个账户和密码,他们经常通过非法市场频繁买卖各种身份信息,包括许多已经在网络上泄露的账号密码。
然后他们就开始这个账户密码从一个服务器到另一个服务器来运行一个自动登录软件,只要登上了,就可以控制这个账户。
总部位于佛罗里达的网络安全公司 FiTechGelb 的首席技术官杜阿尔特 · 佩雷拉说,用于多种用途的弱密码常常是黑客攻击的原因。
佩雷拉说: “通常是一个人把密码放在一个他们不应该放密码的地方,就像钓鱼式的电子邮件或网站。”
“如果你使用相同的密码,对于黑客来说就很容易了。这违背了设置密码的初衷。”
亚马逊购买11款智能门铃测试,两款很快被破解
智能门铃作为一项智能家居安全服务,本身的安全性能怎么样呢?
有监督机构测试了从亚马逊购买的11种智能门铃设备,包括奇虎、 Ctrlonics 和 Victure 在内的品牌。
研究发现,最常见的缺陷是弱密码策略和缺乏数据加密。
测试中有两个设备可以被操纵来窃取网络密码,然后入侵家中的其他智能设备。
红山羊网络安全公司(Red Goat Cyber Security)的合伙人丽莎•福特(Lisa Forte)表示,消费者可能无意中将便利置于安全之上。
“一般来说,越方便的东西就越不安全,”她告诉 BBC。
“如果你决定购买一个智能门铃,请确保它来自一个知名的、值得信赖的品牌。当你设置它的时候,把默认密码改成长密码,如果可能的话在设置中启用双因素身份验证,”她补充说。
双因素身份验证(2FA)是指在登录过程中引入第二步,比如以电子邮件或短信形式发送的代码。
针对这些测评发现的安全问题,亚马逊已经下架了至少七个相关产品。
相关报道:
https://www.bbc.com/news/technology-55499164
https://www.bbc.com/news/world-us-canada-42523045
https://www.bbc.com/news/technology-55044568
https://nbc-2.com/news/crime/2020/11/15/north-port-family-left-shaken-after-unexpected-swatting-incident/amp/