(電腦報全媒體)在智能家居領域,三星擁有舉足輕重的地位,可沒想到的這樣一個巨頭這次卻出了這么大個問題……
三星被曝出20個新漏洞
近日,網絡安全團隊思科Talos發布了一份漏洞分析報告稱,他們在三星SmartThingsHub智能家居設備中發現了20個新漏洞,為網絡攻擊者提供多種攻擊受害者家庭物聯網(IOT)的能力。
據了解,SmartThings的主要用途就是連接各個不同廠商的產品,讓用戶監控、控制和自動操作家庭中的各種連接設備,比如智能插頭、LED燈泡、監控攝像等。而這款類似于“大腦”的核心產品,卻被曝出存在被入侵的可能性。
報告指出,攻擊者可以利用這些漏洞獲得訪問用戶敏感信息的權限,進而控制家中其他設備,執行未經授權的指令。比如,通過攝像頭遠程監視家中情況,禁用報警系統等。
不過,攻擊者想利用漏洞發起攻擊并不容易,他們需要同時結合多個漏洞才能完成入侵。目前已知的攻擊鏈有三種。研究人員同時表示,思科Talos已經和三星緊急推出了最新的安全補丁修復漏洞。
危險的系統漏洞
據國外媒體Threatpost報道,一名三星發言人表示,目前已經部署了安全補丁來修復這些漏洞。“我們意識到了SmartThingsHubV2的安全漏洞,并發布了一個自動更新補丁來解決這個問題。”市場上所有在售的SmartThingsHubV2設備都是最新更新的。
此前,三星SmartThings平臺就曾被曝出存在多個設計缺陷。比如,利用軟件漏洞可以解鎖車門,通過虛假的信息設置打開智能鎖等。
密歇根大學計算機科學與工程系教授AtulPrakash曾表示:“SmartThings這樣需要通過App訪問其它連接對象的智能家居平臺,其實在出現漏洞的時候非常危險。打個比方,如果你能夠讓別人控制辦公室的燈,那么就同樣有機會讓別人獲得整個辦公室的權限,甚至包括保險柜里的內容。”
一個月前的三星Messages漏洞
在三星SmartThings平臺曝出大量漏洞以前,三星Messages在今年6月升級出現一個漏洞,一些設備會在用戶不知情的情況下發出照片。一些用戶報告稱,受影響的照片是他們以前自己發送過的,還有一部分則稱他們整個圖片庫的照片都被發了出來。
Reddit一位用戶表示,S9偶爾會把他圖片庫里的全部內容通過SMS的形式發給其他人,并且發送的內容不會在自己這邊出現。該名用戶建議最好檢查下設備的運營商網站日志。
另一名用戶也表示遇到了類似的情況,他自己和妻子用的手機都發生了同樣的情況。
許多GalaxyS9和Note8用戶都上報了類似的經歷,不過看起來這個問題同樣也出現在了三星其他手機上。
目前幾乎可以肯定的是,SamsungMessages最新的更新引發了這個問題,所以如果還沒有安裝更新的用戶眼下最好先不要安裝。如果安裝了也沒關系,因為現在可以通過一定的措施讓該問題暫時得到解決,即通過禁用SamsungMessages的儲存權限,這可以在設置-應用-SamsungMessages-權限-儲存完成。不過一旦取消了該權限,用戶將無法通過Messages附加和發送照片。
在追求差異化的過程中,大品牌往往會嘗試打造專屬的應用或者系統,以提升綜合競爭力或軟性價值,但在追求差異化的過程中,細節恐怕還是得再三小心。
