圖片來源: 

Context

就在物聯網(Internet of Things, IoT)裝置興起之際,伴隨而來的還有針對這些裝置的資安新議題。從嬰兒監視器冰箱智慧型馬桶汽車,甚至電燈泡都可能被駭。

資安業者Context揭露了LIFX智慧型燈泡的漏洞,並示範如何以外部裝置控制LIFX燈泡,取得使用者的Wi-Fi網路的憑證。

LIFX智慧型燈泡可透過手機程式遙控,該產品在2012年透過Kickstarter打算集資10萬美元,最後募集超過130萬美元的資金,成為智慧型燈泡的先趨業者之一。

LIFX燈泡必須連結Wi-Fi網路以允許遠端的手機程式操控,其控制採用主從設計,程式透過一般的Wi-Fi遙控其中的一個主要燈泡,再基於物聯網裝置專用的802.15.4 6LoWPAN無線網狀網路(Mesh Network)標準,由主要燈泡將指令傳送給其他燈泡。當主要燈泡的網路被關閉時,就會有另一個燈泡來取代主要燈泡的任務。

就是這種新興的主從網狀網路概念引起Context的興趣,他們在網路收發裝置Raven上安裝了6LoWPAN韌體,以監控與干預燈泡間的6LoWPAN傳輸流量,該傳輸協定大部份並未加密,因此很容易就能剖析協定內容,並注入其他命令。代表其他人得以在LIFX燈泡的Wi-Fi網路範圍內從外部控制燈泡的運作。

此外,Context亦能辨識內含Wi-Fi憑證的機密封包,由於這些Wi-Fi憑證是加密的,Context另外取得了LIFX燈泡的韌體,並利用反向工程找出加密方式以將Wi-Fi憑證解密。

在收到Context的通知後,LIFX已更新了燈泡的韌體,並將所有的6LoWPAN流量加密。(編譯/陳曉莉)

 

熱門新聞

Advertisement