close
企業趨勢資訊保安

打開雪櫃、GMail 帳戶已任黑客手到拿來

物聯網日漸流行,使我們意想不到的東西,都可以成為入侵目標,例如加油站。現在,連家中必備的雪櫃也有風險。在 DEF CON 黑客大會中,有人發現可利用智能雪櫃的漏洞,偷取 Google 的登入憑證,之後,黑客便可以獲得與 Google 戶口有連繫的東西,包括 GMail。

samsung-RF28HMELBSR

智能雪櫃現漏洞 黑客可截取 GMail 登入資訊

發現漏洞的雪櫃是 Samsung 牌子,型號為 RF28HMELBSR,於去年推出,並可以使用 Smart Home App。該雪櫃的其中一個功能,是顯示 Gmail Calendar 的資訊。

在大會中,Pen Test Partners 發現該雪櫃有受到中間人攻擊(Man-in-the-middle)的風險。當雪櫃的 Google Calender 在更新資訊時,他們便可以獲得用家的  Google 登入憑證。

這是因為雪櫃雖然有用 SSL,但沒有檢查對方的 SSL 憑證。當雪櫃上的 Google Calender 在更新時,雪櫃會提供自己的安全認證,但沒有檢查對方,即是 Google Calendar,有否正確的 SSL 憑證。如此一來,如果黑客成功入侵雪櫃使用的網絡(例如透過解除認證或者建立假的 Wifi 存取點),他們便可假扮成 Google Calendar 並接收由雪櫃發出的 Google 登入資料。

而 Samsung 得悉事件後表示,他們明白Samsung的成功是建基於顧客的信任和產品和服務的提供。他們正盡快調查事件。

Source: Geek

 

 

Tags :GmailInternet of Thingsiotsamsung
Dennis Ma

The authorDennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。

Leave a Response