物联网设备已沦陷，咖啡机也不能例外

by **C Xue Yi** November 15th 2015, 19:08

随着物联网设备的广泛使用，被黑客攻击的范围也在不断扩大，我们周边的智能设备是网络犯罪者们首要选择的攻击目标。那么咖啡机又怎能例外呢？联网的咖啡机会成为黑客入侵网络的入口，甚至可能会访问你的隐私信息。

手机上一个小小的app就可以控制咖啡机，远程在手机app上轻点几下就可喝到一杯热气腾腾的咖啡。然而app上存在一个漏洞，当应用程序和咖啡机交换信息时就给攻击者打开了一扇攻击大门。攻击者会利用这个漏洞窃取用户WiFi密码和嗅探无线网络中传输的数据。
卡巴斯基实验室的安全专家警告使用联网咖啡机时可能会存在安全隐患，同时还发现其他几个联网设备也会给用户带来安全隐患。它们分别是：

1. 视频流媒体的USB电子狗（Google Chromecast）
2. 智能手机控制的IP照相机
3. 智能手机控制的咖啡机
4. 智能手机控制的家庭安全系统

漏洞虽不少，但很难被利用

安全专家发现了数个不同危险程度的安全漏洞，说实话有些漏洞很难利用，因为满足入侵的客观条件很难实现。

当联网咖啡机打开时，它就自动打开了一个未加密的热点，可窃听UPNP流量。在客户端，智能手机上安装的app是由咖啡机厂商提供的，它会连接到一个热点并发送UDP请求广播，以搜索UPNP设备。咖啡机会与app建立一个通信，以交换诸如SSID、无线密码等数据，然而不幸的是，这些交换的数据全是明文的。

为了入侵咖啡机，攻击者需要知道用户安装app的具体时间，以及物理接触物联网设备的具体时间，从而截取用户的密码。事实上，这种攻击场景并不易实现。

厂商的反应

卡巴斯基实验室已经将这一问题报告给了咖啡机厂商，对方给出的回应是：

用户体验和安全对我们来说都非常重要，我们也一直在这两者之间寻找平衡点。你们所提到的漏洞是在安装过程中发生的，属于低危。如果要获得访问权限，攻击者需要在目标家庭网络的附近，并且时间还必须保证在应用安装的过程中，也就是说攻击只能在短短的几分钟和一定的距离内才能完成。我们不相信这个漏洞会对用户体验带来很大的影响。尽管我们还没有明确改变安装进程的计划，但如果安全风险变得非常严峻的情况下我们会毫不犹豫的做出改变。未来有什么改变我们会及时通知。

转载自freebuf.com