物聯網日漸流行,使我們意想不到的東西,都可以成為入侵目標,例如加油站。現在,連家中必備的雪櫃也有風險。在 DEF CON 黑客大會中,有人發現可利用智能雪櫃的漏洞,偷取 Google 的登入憑證,之後,黑客便可以獲得與 Google 戶口有連繫的東西,包括 GMail。
智能雪櫃現漏洞 黑客可截取 GMail 登入資訊
發現漏洞的雪櫃是 Samsung 牌子,型號為 RF28HMELBSR,於去年推出,並可以使用 Smart Home App。該雪櫃的其中一個功能,是顯示 Gmail Calendar 的資訊。
在大會中,Pen Test Partners 發現該雪櫃有受到中間人攻擊(Man-in-the-middle)的風險。當雪櫃的 Google Calender 在更新資訊時,他們便可以獲得用家的 Google 登入憑證。
這是因為雪櫃雖然有用 SSL,但沒有檢查對方的 SSL 憑證。當雪櫃上的 Google Calender 在更新時,雪櫃會提供自己的安全認證,但沒有檢查對方,即是 Google Calendar,有否正確的 SSL 憑證。如此一來,如果黑客成功入侵雪櫃使用的網絡(例如透過解除認證或者建立假的 Wifi 存取點),他們便可假扮成 Google Calendar 並接收由雪櫃發出的 Google 登入資料。
而 Samsung 得悉事件後表示,他們明白Samsung的成功是建基於顧客的信任和產品和服務的提供。他們正盡快調查事件。
Source: Geek