在连接产品的制造商未能保护该产品安全的另一个示例中,三星的连接冰箱允许恶意软件窃取用户的Gmail登录凭据,前提是他们可以进入用户的Wi-Fi网络。该漏洞被称为“中间人攻击”之所以成为可能,是因为三星智能冰箱使人们可以将其Gmail日历链接到冰箱门上的屏幕,以便他们可以查看当天的活动。
这是一个方便的功能,除了有人登录时,冰箱说它提供SSL加密,但无法实际验证Google端的服务器是否具有正确的证书来实际获取加密数据。它只是交出。这类似于俱乐部所说的,它检查ID仅是为了让人们进入而无需实际查看ID上的日期。因此,消费者的Wi-Fi网络上的任何人都可以伪装成Google的日历服务,并抓住消费者的Gmail登录凭据。黑客可以从那里造成各种破坏。《财富》已经联系三星,以了解该漏洞。
该漏洞是在本月早些时候的Defcon事件中的一次黑客马拉松中发现的,并在星期一早晨进行了注册。笔测试合作伙伴发现了该弱点,并在博客中发布了该漏洞及其如何系统地尝试攻击冰箱的信息。
关于博客文章,最好的部分是它清楚地表明了某人试图破坏连接产品安全性的心态。失败只是暂时的挫折,因为他们没有尝试正确的密码或在此特定设置中没有足够的时间。例如,检查此部分的可信度(重点是我的)
我们拆开了移动应用程序,发现我们认为是密钥库中的证书。我们“相信”我们所做的,因为它的名字暗示了这一点。但是,它已正确设置了密码,我们尚未提取可打开密钥存储区的密码。我们认为我们已经在客户端代码中找到了证书的密码,但是它被混淆了,我们还没有办法扭转它。
这里的挑战是,不一定熟悉安全性重要性的制造商将互联产品推向市场。在某些情况下,他们理所当然地没有意识到这些威胁,但在另一些情况下,他们则认为这是一种更具成本效益的途径,认为他们可以稍后再增加安全性。他们不能:必须从头开始设计这些产品的安全性。第二个挑战是,许多供应商都依赖消费者比他们更了解安全性。
在消费者失去信任和监管机构决定介入之前,与互联网连接的设备行业需要发展并迅速发展。今天,这是一家展示漏洞的安全公司,但明天,它很可能是一个敲诈道德主义者的团队或试图摧毁一家公司的小组。