小心那些联网的智能家居设备,它们会泄露WI-FI密码
未来的世界,是一个万物互联的世界。到那时,智能空调、智能冰箱、智能扫地机器人、智能......试想一下,当这些智能联网设备变成Wi-Fi密码泄露源时,你还敢让智能设备联网吗?
近日,上海交通大学密码与计算机安全实验室蜚语GoSSIP软件安全小组(以下简称“蜚语小组”)调查研究发现,一类市场上智能联网设备广泛使用的配网方案——SmartCfg存在泄露Wi-Fi密码的风险。针对该方案,蜚语小组对市面上常见的60余款智能家居设备进行调查发现,超过2/3的设备存在泄露密码的风险。
Wi-Fi
多家无线芯片厂商采用有漏洞配网技术
所谓智能设备联网,是指智能设备提供接入Wi-Fi网络所需要的SSID(Wi-Fi名字)和密码的过程。由于现在的智能联网设备普遍没有输入界面或键盘,必须依赖其他途径,比如手机APP来获取联网需要的登陆凭证。
例如,一款智能插座,由于插座本身没有输入界面,如果要联网,就需要用户在对应的APP上输入Wi-Fi的SSID和密码,APP再通过特定的方式将这些凭据发送给智能设备,智能设备才能连接到无线路由器。据蜚语小组介绍,SmartCfg就是解决APP发送信息给智能设备、智能设备再联网问题的一种配网方案。
据了解,SmartCfg配网方案最初见于一家美国公司德州仪器在2012年推出的配网技术,经过5年多的发展,SmartCfg配网方案被多家无线芯片厂商接受。这意味着,很多厂商的智能联网设备存在泄漏Wi-Fi密码的风险。
漏洞论文已被顶级学术会议录用
据蜚语小组的研究员介绍,针对SmartCfg配网过程,破解者在无线局域网附近但无法物理或远程连接到Wi-Fi网络缺少密码时,破解者可以通过监听和分析SmartCfg配网过程,从APP和智能设备的通信数据中分析和恢复Wi-Fi密码,继而登陆到特定的受保护Wi-Fi网络中去。
为此,通过分析相关APP中是否存SmartCfg配网方案特征值,蜚语小组就能判断出对应的智能设备中是否使用了SmartCfg配网方案。
接下来,他们通过对市面上使用SmartCfg配网方案的8家主流无线芯片厂商的产品进行分析,最终发现,64款智能家居设备中,42款设备的Wi-Fi密码传输方案没有妥善保护,攻击者在掌握了传输细节后,可以通过网络数据嗅探和数据解密,获取Wi-Fi密码。
据了解,针对此问题,蜚语小组撰写了相关学术论文——《Passwords in the Air: Harvesting Wi-Fi Credentials from SmartCfg Provisioning》,已经被无线安全领域的顶级国际学术会议WiSec"18录用,并将在今年6月瑞典斯德哥尔摩的会议上介绍相关研究成果。
WiSec"18会议录用论文。
并且,截止蜚语小组针对该问题的学术论文投稿前,他们已通过官方联系途径对涉及到的厂商及其协议中存在的问题进行了通报。许多厂商也及时进行了响应。
厂商对上交大密码与计算机安全实验室发现漏洞的感谢信。
- “反思互联网经济”是个伪命题 |《财经》社评
- 那些澳大利亚国鸟的有趣事儿
- 福建漳州知翼行——关于我了解到的贷前风控的那些事 !
- 这个6月,易居用“行动”成就的那些Flag
- 欧冶“互联网+钢铁”大数据教育实践基地开课啦!喜迎第一批济光
- 抽烟喝酒嚼槟榔?出现这12个信号,小心口腔癌
- 《只有一个地球》丨那些年,我们一起读过的课文
- 买房做不好这些,小心成为终身房奴!
- 买房的小心啦:中介不用再告诉你要买的是“毒屋”!
- 不小心就会导致“过度喂养” 宝宝吃多了后果真的很严重