弗拉基米尔·贝兹马利| 2016 年 2 月 10 日
在购买物联网 (IoT) 类别的任何产品(恒温器、摄像头、可远程访问互联网或通过互联网控制的设备)之前,请考虑是否真的可以保护它。您的购买行为是否会给您的网络带来新的漏洞,是否会出现设备供应商造成的新的安全漏洞?
2014 年 4 月,思科研究人员向互联网恒温器供应商 Trane HVAC 发出警报,称其 ComfortLink II 产品存在三个严重漏洞。当时,HVAC Trane 尚未回应思科的请求。
发现该漏洞允许攻击者远程访问设备,并通过这些设备访问用户网络的其余部分。但最大的问题是 ComfortLink 恒温器带有存储在设备中的凭证,包括不可更改的密码。默认情况下,这些账户可以通过 SSH 远程登录。
另外两个漏洞允许攻击者在 Trane 设备上安装恶意软件。
特灵花了近两年的时间才于 1 月 26 日纠正了最严重 香港电报数据 的缺陷(书面凭证)。据思科称,2015 年 5 月已修复了另外两个漏洞。然而,客户尚未收到任何有关需要修补固件的信息。
不幸的是,隐藏账户和不安全的默认设置在物联网设备中相当常见。还值得考虑的是,对于普通用户来说,修复此类设备中的漏洞可能非常困难,甚至根本不可能。
本文作者 是Microsoft Security Trusted Advisor。
海豹