2.4G無線模塊廠家 > 無線資訊 > 無線技術
24小時全國服務熱線 0755-29466981
我的阿里

低價嵌入無線模塊的“偽智能”產品要謹慎購買

來源: 作者: 發布日期:2016-09-05 17:33:12 加入收藏 關注:
分享:

     在人民經濟水平的發展,不少企業都想乘著智能化這列快車“圈地”發展,尤其是在智能家庭這塊領域,直至現在已經有很多相關產品的上市,比如說裝個嵌入了智能無線模塊攝像頭防盜,買了嵌入智能無線模塊的插座可在床上控制開光等等,不可否認的是,許多人都享受著“偽智能”產品帶來的方便。

             QQ截圖20160905173954.png

然而,近日有個美國買家在美國亞馬遜購買了一款嵌入無線模塊智能插座后,卻發現這款插座存在嚴重安全漏洞,用戶ID以未加密的形式傳輸給服務器,而掌握了這個ID的人就能控制相對應的插座!!事實上,這并非孤例。《IT時報》記者調查發現,現在國內很多所謂智能硬件廠商安全意識都非常薄弱,不僅在產品設計時便有意無意地忽略了安全投入,甚至在“白帽子”指出其存在漏洞后,依然無動于衷。

  

當你被市面上各種嵌入無線模塊智能保險箱、智能路由器、智能門鈴、智能冰箱等等“晃”花了眼,準備掏錢包時,千萬要謹慎,或許,你正在將一個“大黑洞”買回家。

  

Wi-Fi、藍牙無線模塊都是被攻擊點

  

上個月,在XCTF國際聯賽總決賽暨網絡安全技術論壇上,GeekPwn 2016 澳門站“最酷展示獎”得主、凌晨網絡科技CEO姚威現場演示了他對智能保險箱的破解。

           353115_201405281513431nVwx.jpg

姚威拿出了一臺在淘寶上銷量排名靠前的藍牙智能保險箱,這臺保險箱的特點是,與藍牙無線模塊配對以后只允許一部手機打開這個保險箱。攻破它的難度對姚威而言并不大,因為當手機通過藍牙設定密碼時,可以通過“監聽”手段發現,密碼傳輸是明文的,也就是說,姚威“劫持”到的密碼根本無需破解,看似兇猛的智能藍牙保險箱,不過是個“紙老虎”。

  

姚威曾破解過多款熱銷的智能保險箱,他發現,智能保險箱雖然宣稱更加安全,但實際上暴露出的“命門”,也就是攻擊面更多,操作邏輯的交互,藍牙、Wi-FiNFC等接口,數據問題、云端等等,都可以成為黑客攻擊的焦點。

  

“目前國內還沒有針對智能硬件的整體安全標準,各家小規模廠商大多使用低成本的通用研發平臺及方案,結果一個方案出問題,會牽連一片使用這套方案的各類硬件。”360Unicorn團隊負責人楊卿說道。“攻擊、發現漏洞,完全有成熟完整的套路可循,”姚威說,“只要看到產品介紹帶有Wi-Fi、藍牙、NFC無線模塊,我們立馬就能想到對應的攻擊手法。

  

攻擊手段永遠是超前的、成熟的,但廠商卻拿不出安全解決方案這是目前智能硬件安全的矛盾點所在。智能硬件正在爆發式增長,這個看似繁榮的行業,在安全上的考量卻低到超乎IDF實驗室聯合創始人萬濤的想象,大量安全漏洞只需要簡單的無線偵聽、繪畫劫持、中間人攻擊、ARP欺騙(一種常見攻擊手段)就可以攻破,甚至還沒到拆解無線模塊芯片識別層面,“云端很弱直接搞掉,App很爛直接被黑,都不需要做太多的動作。”萬濤擔心,“這樣的狀態是不足以支撐一個產業發展的。一個智能硬件安全生態鏈的構建勢在必行。”

  

對于漏洞不少廠商漠然以對

  

“十家廠商里,只有華為、小米、D-link、極路由四家主動聯系過我們。”今年上半年,長亭科技聯合創始人楊坤和他的團隊決定破解智能路由器,他們從淘寶、京東上選取了十款熱銷的路由器,花了2個多月的時間對此無線模塊“智能”產品進行分析破解,并在今年5月的GeekPwn2016澳門站比賽中以此奪得頭魁。雖然成績不錯,但這十家廠商對此反應差別極大。

              20857956_310171.jpg 

然而,還有一半以上的廠商不重視或者消極應對,對于這樣的結果,楊坤并沒有意外。去年楊坤團隊在破解智能攝像頭時就遇到過類似情況,“漏洞提交給廠商后,半年后發現,他們的漏洞紋絲未動。”而且這并非個案。獵豹移動安全的相關負責人對《IT時報》記者表示,2015年獵豹曾特別關注過智能硬件,并做出了兒童智能手機漏洞等多個有影響力報告。但今年開始,獵豹團隊對嵌入無線模塊的智能硬件領域的重視程度急劇下降,“很多漏洞提交廠商那邊并沒有反饋,我們也沒了積極性。”

      

可以對比的一個典型案例是,前幾年海外市場的華碩路由器被曝有漏洞,“任何人都可以訪問掛載在路由USB接口上的驅動器數據”,但華碩堅稱“算不上是個問題”。直到半年后,黑客團體公布控制了美國1.29萬個家用路由器,華碩這才打了補丁。受此事影響,美國聯邦貿易委員會介入調查。今年年初,美國聯邦貿易委員會與華碩和解,在未來二十年內,在美國出售的華碩路由器及其固件都需要接受每兩年一次的獨立安全審查,且華碩還要為每個違規問題繳付 16000 美元的罰金。

  但是在國內,不僅法律相對不健全,消費者對安全的重視程度也不高,有些無線模塊廠商因此便開始“偷懶”。

  

廠商往往保利益棄安全

  

姚威選取攻破的兩款嵌入無線模塊的智能保險箱廠商,一家是有心做安全但沒做好,但另一家壓根就沒考慮過安全問題。通常小廠商想改善產品安全問題,卻發現硬件與研發成本擋在路上,比如數據傳輸加密這一環節,需要提升芯片的運算能力。

  

“現在嵌入無線模塊智能硬件普遍追求低成本,很少使用價高性能高的運算芯片,芯片差價就有幾十元。360獨角獸團隊的楊卿表示,有時候并不是漏洞出現以后打補丁升級即可,有的廠商有心想提高產品的安全,但由于牽涉到更多的利益問題,廠商的選擇往往是保利益棄安全。姚威發現保險箱漏洞提交給廠商,對方卻表示,保險箱里本身已經固化硬編碼,如果要打補丁,必須換芯片。“我們在東莞一個小廠家找到一模一樣的芯片(就是山寨他們的芯片),且所有接口都是開放的,建議說買這家山寨廠商的產品吧,這樣就能打好補丁。”但最后,這提議遭到了廠商的拒絕,原來老芯片早已批量生產,還有很多庫存,如果換芯片,他們這些老產品就報廢了。

  

因此市場上低價的“偽智能”產品絕大多數都用的比較差的無線模塊芯片,此類芯片的一般使用價低性能也低,相對于來說安全問題漏洞是會很大的。所以,注意一些在市場上低價“智能”產品是非常重要的。

 

 

“實用”“易用”的無線聯接產品免費申請樣品,立即點擊看看吧
“通俗”“易懂”的無線聯接技術文章盡在無線新聞,立即點擊看看吧
推薦閱讀
  • 無線模塊傳輸距離增加的方法 了解詳情 >
  • 藍牙耳機中的tws芯片:市面上流行的tws芯片盤點 了解詳情 >
  • 雙十一,千元內藍牙耳機大推薦! 了解詳情 >
  • 雙十一500元以內藍牙耳機要怎么選?500元以內藍牙耳機 了解詳情 >
  • 雙十一超值藍牙耳機要怎么選?恒玄方案藍牙耳機名排前 了解詳情 >
上一條 關于無線模塊的智能家居有什么優勢? 下一條 嵌入無線模塊的智能硬件怎么這么傻? 日本三级,香港三级,韩国电影三级大全2017,黃色带三级,三级片