至少一个8月品牌的智能锁中的安全漏洞可能使黑客访问用户的整个Wi-Fi网络。这是基于PCMag最近关于该发现的报告,该报告由Bitdefender提出。据报道,该问题追溯到12月的8月。截至撰写本文时,问题仍未解决。
具体来说,此漏洞适用于August的Smart Lock Pro + Connect。它依赖于在建立智能锁时基础系统的工作方式。但这并不一定意味着它不可能实现。黑客只需要一点耐心和必要的知识就可以启动智能锁的断开连接。
与普遍的看法相反,这些步骤中的后一个步骤并非很难完成。这些物联网设备仅需花费时间和时间。然后,由于攻击依赖于智能锁的所有者实现其脱机并再次进行设置,因此需要花费更多时间。
此问题是由于此August Smart Lock上的加密不良导致的
现在,这是自8月起的较旧的智能锁。因此,很有可能在较新的设备中解决了该问题。但是,对于安装了August Smart Lock Pro + Connect的用户而言,这绝非易事。问题又出在加密上执行不力。
也就是说,August在系统中内置了加密功能,以防止网络监听窃听Wi-Fi密码-这将允许更深层的监听。但是这种加密不是真正的加密,至少在现代意义上不是这样。相反,它已被直接硬编码到设备的固件中。并且通过非常简单的ROT-13方法对其进行保护。
最好将这种方法描述为有效地循环或旋转13个字符,而不是对密钥使用更多随机性。实际上,这是一种通过模糊尝试安全性的方法。任何参加过有关安全的课程或培训的人都可以证明,默默无闻绝对不是安全。
这意味着黑客可以有效地使August Smart Lock Pro + Connect脱机,等待设置过程开始,并在此过程中获取加密密钥。
8月份的反应好坏参半
现在,如上所述,8月被通知为12月。在调查过程中,PCMag还设法在8月发表评论。该公司最初打算在6月份与Bitdefender的共同披露者及时解决问题。但这失败了,据报道问题仍然没有解决。
根据August的说法,团队“已经意识到该漏洞并正在努力解决问题”。它还说尚未得知任何受影响的用户。首先,尽管很难确定用户的注意方式。尤其是因为遭到破坏的是他们的Wi-Fi网络,而不是智能锁。
该公司还重申,实际上这是实施起来很困难的攻击。但是它的响应确实避开了Bitdefender能够解决如何强制安装并利用漏洞的事实。据报道,只有使用Android进行安装时,这种攻击才可能发生。iOS设备不受影响。