安基网 首页 资讯 安全报 查看内容

我家大门常打开,“开放”门锁等黑客?

2020-8-13 15:49| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 如果你使用了智能门锁,并且使用的是August smart lock Pro + Connect的话,请注意,该门锁中未打补丁的安全漏洞一意味着黑客可以完全访问你的Wi-Fi网络。首先,August smart lock Pro + Connect门锁允许用户控制房 ...

如果你使用了智能门锁,并且使用的是August smart lock Pro + Connect的话,请注意,该门锁中未打补丁的安全漏洞一意味着黑客可以完全访问你的Wi-Fi网络。

首先,August smart lock Pro + Connect门锁允许用户控制房屋的大门或其他地方,房主只需轻按即可解锁/锁定门,还能授予客人访问权限,监督其他人进入或离开房屋。

由于缺乏必要的硬件,该设备无法直接连接到互联网,因此,当用户在一定范围内时,可以通过蓝牙低能耗(BLE)控制锁定。而为了满足远程管理的需求,August应用程序形成了一个+ Connect Wi-Fi网桥,与互联网建立连接,再由控制智能锁的用户来回传递命令。

然而,在这种情况下,设备之间的命令用传输层安全(TLS)加密,不能以任何方式修改或利用。除此之外,只有所有者在其帐户中注册了锁,才能配置与无线网络相连的August连接。而用户通过两步验证获得对帐户的访问权限,因此所有者具有完全权限,可以授予访客全部或有限访问权限,接收即时通知并检查状态。

当然,为了实现这些功能,August Smart Lock Pro + Connect会连接到用户的Wi-Fi网络。在没有可用的键盘/输入设备的情况下,August使用一种通用技术来确保连接。该设备进入设置模式,作为接入点启用与智能手机的链接。随后,应用程序会将Wi-Fi登录凭据传递给智能锁,但这个通信是开放的(未加密),因此容易受到攻击。值得注意的是,虽然设备的固件会加密登录凭据,但使用的是ROT13,这是一种简单的密码,很容易被附近的黑客破解。

最后,不得不提一下漏洞从发现到披露的过程:

  • 2019年12月9日:与受影响的供应商进行初步联系,交换了PGP密钥
  • 2019年12月10日:供应商提前收到报告的副本
  • 2019年12月18日:信息再次发送给受影响的供应商
  • 2019年12月18日:漏洞已确认
  • 2019年12月18日:CVE-2019-17098
  • 2020年5月11日:供应商要求在2020年6月上旬安排公开信息
  • 2020年1月16日:Bitdefender准备更新
  • 2020年7月2日:Bitdefender准备另一次更新
  • 2020年8月6日:Bitdefender没有收到供应商的回音,公开漏洞。

将近8个月后,这个漏洞依然存在。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://netsecurity.51cto.com/art/202008/623801.htm

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
极速赛车冠军的技巧 极速赛车8码公式 内蒙古快三走势图 彩吧彩票计划群 福建11选5开奖 内蒙古快3 迪士尼彩票计划群 极速赛车登陆 金砖彩票计划群 山东11选5计划