对于你和你爱的人来说,家应该是一个舒适、温馨的地方,但它也应该是你感到最安全的地方。幸运的是,在过去的十年里,新技术使设置保护变得比以往任何时候都更容易,安装摄像头、智能锁和监视器,甚至可以让你从远处监视你的财产。但如果你碰巧拥有一种流行的家庭安全系统,最近发现的两个漏洞可能会让你处于危险之中。往下读,看看为了安全起见,你可能想更换哪种产品。
如果您的家配备了堡垒S03安全系统,您可能会在不经意间将您的安全置于危险之中。据网络安全公司Rapid7称,两个主要漏洞使得潜在入侵者可以使用相对简单的策略来解除系统。
据TechCrunch报道,该公司表示,他们在三个月前首次发现了安全漏洞,并就潜在风险与Fortress进行了联系。在Fortress未能回应消息后,Rapid7公开发布了有关漏洞的信息,并看到唯一的外联承认是在没有评论的情况下关闭了支持票。
据Rapid7报道,堡垒S03系统依靠Wi-Fi连接来维持其运动传感器、摄像头和警报器,并允许客户通过移动应用程序查看他们的家。它还使用无线电控制的fob钥匙来打开或关闭系统,无论何时进出他们的房子。
然而,这家网络安全公司发现,该系统依赖于一个未经认证的API,这使得黑客或犯罪分子只需知道与账户相关的电子邮件地址,就可以获得特定设备的唯一国际移动设备识别码(IMEI)号码。据TechCrunch报道,这使得他们可以远程武装或解除系统。
但潜在的入侵者甚至不需要知道你的个人电子邮件地址就能进入你家。Rapid7表示,它还发现该系统的fobs通过使用未加密的无线电信号来武装和解除武装,这使得有人可以相对容易地接收到未加密的频率并重放它们来关闭系统。
虽然监听无线电频率的过程听起来很高难度,但一位专家警告说,只要掌握正确的技术,就可以相对轻松地完成。Rapid7的研究主管托德·比尔兹利(Tod Beardsley)告诉Threatpost:“攻击者需要对SDR相当熟悉,以便捕获和回放信号,并处于合理的无线电范围内。”“这个范围取决于所使用设备的灵敏度,但通常这种窃听需要视线和相当近的距离——穿过街道左右。”
更多有用的技术提示直接发送到您的收件箱,请注册我们的每日通讯。
最终,专家表示,随机入侵者不太可能利用系统中的漏洞。比尔兹利告诉Threatpost:“利用这些问题的可能性非常低。”毕竟,一个投机取巧的入室窃贼不太可能是网络安全专家。然而,我担心的是,攻击者已经非常了解受害者,或者至少知道他们的电子邮件地址,这是通过互联网禁用这些设备所真正需要的。”
Beardsley承认,除了避免使用与Fortress相关的产品外,对于容易被利用的fobs可以做的“很少”。但是仍然有一种方法可以避免别人利用你的电子邮件地址利用你的系统。比尔兹利告诉Threatpost网站说:“我们建议给手机注册一个秘密的、一次性的电子邮件地址,这个地址可以作为一种弱密码。”“由于没有供应商的身份验证更新,我觉得这是一个不错的解决方案。”
