三十分钟。这段时间从本-古里安大学的一组研究人员在以色列访问安全摄像头,婴儿监视器、门铃、恒温器、和其他物联网,not-so-smart设备。它不需要任何特殊的黑客技术。任何人都能做。
唯一的工具,你需要至少有一个能在鼻子会工作也类型的任何设备的品牌和型号你想要破解,和一个连接web浏览器。将该信息放入到一个Google搜索框,在几分钟内,你会发现某个网站或论坛帖子描述如何进入该设备使用厂家的默认管理用户名和密码。任何一个恋童癖,小偷,前配偶,或者经常偷窥者可以使用此信息来获得这些设备安装在你的家。政府或犯罪组织也可以使用这些用户/密码组合来控制多个设备,为了挖掘数据,间谍,或推出全球互联网攻击。
这项研究是由Yossi奥伦负责实现的安全性和边信道攻击实验室Cyber@BGU。他和他的同事们分析了16个流行高,低端的物联网设备,使用不同的逆向工程技术,显示是多么容易提取的默认硬编码的密码任何机当你有物理访问。
团队添加这些密码编码在实验室版本的列表Mirai——著名的僵尸网络恶意软件专门创建的输入和控制成千上万的物联网设备组织大规模的攻击。然后他们演示了如何轻松你可以感染相同模型的设备在同一时间。
该小组还发现,你不需要做所有的黑客自己:黑客都使用相同的过程一旦上市,然后他们公开分享密码信息。喜欢他们在几秒钟之内,奥伦和他的团队已经完全访问所有设备的硬件功能,所以他们“能够播放的音乐通过一个婴儿监视器,关掉恒温器,和远程开启摄像头。”
这给我们提供了一个非常基本的问题:这些都不能解决用一个简单的用户体验设计更改?如果成千上万的数以百万计的设备的主要安全漏洞是人们保留默认用户名和密码不变,不能公司力买家自己来设置,使它们创建16位字符(或更多)密码短语和完整的用户名吗?只需要一个屏幕的智能设备的安装过程。人们不会认为这是奇怪的。就像当我们创建一个用户和密码我们第一次打开一台新电脑。当然,改变默认的用户名和密码是不会解决糟糕的安全体系结构,如远程管理留下后门打开,还是可怜的防火墙的设计,但它会帮助这些更基本的安全漏洞。该公司采取这种措施,即使他们牺牲方便。短的,我们作为消费者,应该明智地考虑这个建议从本-古里安团队:“仔细考虑的益处和风险将设备连接到互联网。“换句话说:不要使用这个垃圾,直到所有这些公司修理。