美國黑客組織GTVHacker本周曝光了Nest智能恒溫器Nest Learning Thermostat的一個漏洞�����。通過該漏洞�����,黑客可以基于運動探測器信息�����、網(wǎng)絡流量���,或房間溫度來了解用戶是否正在家中,同時不必開啟這一設備�。通過Nest智能恒溫器��,用戶可以獲得很多有趣的智能功能�����,例如徹底替代Nest的軟件。
那么這一攻擊需要如何實施��?與攻擊其他移動設備或互聯(lián)家居設備的方法類似���,黑客需要首先獲得一臺Nest智能恒溫器���。就我們所知,目前沒有任何設備遭到遠程入侵”����。因此對大部門用戶而言,不必擔心黑客闖入家中�,對自己的設備進行修改。這看起來像是正當更新��,但留下了一個后門����,而設備所有者甚至完全不會意識到發(fā)生了任何改變。
根據(jù)GTVHacker的說法��,這種攻擊利用了Nest智能恒溫器加載軟件的通道(這需要用到USB端口����,因此黑客必需實際獲得設備)�,從而運行其Boot-Loader�����,并在Root權限下添加一個SSH服務器�。對于這一動靜,Nest回應稱��,該團隊的軟件“沒有破壞我們服務器及其連接的安全性��。然而��,其中的漏洞也給黑客帶來了可乘之機�����。 GTVHacker提供了一段具體視頻�,而該團隊將在今年8月的DEFCON大會上詳細演示這種攻擊方式。
粵公網(wǎng)安備44011302004697
