新德里:安全
研究人员周三警告称,网络犯罪分子可能会利用一个物联网(物联网)网络——智能灯泡及其控制桥——传统电脑上发动攻击
网络在家庭、企业甚至智能城市。
研究人员从网络安全公司检查发现
漏洞在飞利浦色相智能灯泡使用的通信协议——一个选框智能家居设备依赖于无线个域网协议。
的研究,完成了检查信息安全研究所的帮助下,在特拉维夫大学(领域),
以色列是向飞利浦和披露意味着(飞利浦色相品牌的所有者)在2019年11月。
表示确认漏洞的存在在他们的产品,并发布了一个补丁版本的固件(固件1935144040)现在通过一个自动更新。
在这项研究中,研究人员关注飞利浦色调智能灯泡和桥,发现漏洞(cve - 2020 - 6007),使他们渗透到网络使用远程无线个域网中利用低功耗无线协议,用于控制各种物联网
设备。
研究人员使用的色调白炽灯的灯泡作为一个平台来接管控制桥和最终,攻击目标的计算机网络。
最近硬件一代又一代的色调灯泡没有利用漏洞,研究说。
“很多人都知道物联网设备可以构成安全风险,但这项研究表明,即使是最平凡的,看似“愚蠢的”设备,如灯泡可能被黑客用来接管网络,或植物恶意软件,“说Yaniv balma,网络研究,检查研究。
“这是至关重要的组织和个人保护自己免受这些可能的攻击通过更新设备的最新补丁和其他机器在他们的网络分开,限制的可能传播恶意软件。在当今复杂的第五代攻击景观,我们不能忽视安全的任何连接到我们的网络,”balma说道。
在攻击场景,研究人员开始瓦解,黑客控制灯泡的颜色或亮度诱骗用户思考灯泡故障。灯泡是不可到达的用户的控制程序,所以他们将试图“重置”。
重置灯泡的唯一方法是删除它的应用程序,然后指示控制桥再发现灯泡。
桥发现灯泡妥协,和用户添加回他们的网络。
hacker-controlled球与更新固件然后使用无线个域网协议漏洞引发出现基于堆的缓冲区溢出控制桥上,通过发送大量数据。
这些数据还允许黑客在桥上安装恶意软件——这是依次连接到目标企业或家庭网络。
连接到黑客的恶意软件和使用一个已知的利用(如EternalBlue),他们可以从桥上渗透目标IP网络传播ransomware或间谍软件。
“我们建议用户,以确保他们的产品收到了自动更新的固件版本、“检查站说。