今年八月的智能鎖可以保護(hù)您的門 但不能保護(hù)Wi-Fi

至少一個(gè)8月品牌的智能鎖中的安全漏洞可能使黑客訪問用戶的整個(gè)Wi-Fi網(wǎng)絡(luò)。這是基于PCMag最近關(guān)于該發(fā)現(xiàn)的報(bào)告，該報(bào)告由Bitdefender提出。據(jù)報(bào)道，該問題追溯到12月的8月。截至撰寫本文時(shí)，問題仍未解決。

具體來說，此漏洞適用于August的Smart Lock Pro + Connect。它依賴于在建立智能鎖時(shí)基礎(chǔ)系統(tǒng)的工作方式。但這并不一定意味著它不可能實(shí)現(xiàn)。黑客只需要一點(diǎn)耐心和必要的知識(shí)就可以啟動(dòng)智能鎖的斷開連接。

與普遍的看法相反，這些步驟中的后一個(gè)步驟并非很難完成。這些物聯(lián)網(wǎng)設(shè)備僅需花費(fèi)時(shí)間和時(shí)間。然后，由于攻擊依賴于智能鎖的所有者實(shí)現(xiàn)其脫機(jī)并再次進(jìn)行設(shè)置，因此需要花費(fèi)更多時(shí)間。

此問題是由于此August Smart Lock上的加密不良導(dǎo)致的

現(xiàn)在，這是自8月起的較舊的智能鎖。因此，很有可能在較新的設(shè)備中解決了該問題。但是，對(duì)于安裝了August Smart Lock Pro + Connect的用戶而言，這絕非易事。問題又出在加密上執(zhí)行不力。

也就是說，August在系統(tǒng)中內(nèi)置了加密功能，以防止網(wǎng)絡(luò)監(jiān)聽竊聽Wi-Fi密碼-這將允許更深層的監(jiān)聽。但是這種加密不是真正的加密，至少在現(xiàn)代意義上不是這樣。相反，它已被直接硬編碼到設(shè)備的固件中。并且通過非常簡(jiǎn)單的ROT-13方法對(duì)其進(jìn)行保護(hù)。

最好將這種方法描述為有效地循環(huán)或旋轉(zhuǎn)13個(gè)字符，而不是對(duì)密鑰使用更多隨機(jī)性。實(shí)際上，這是一種通過模糊嘗試安全性的方法。任何參加過有關(guān)安全的課程或培訓(xùn)的人都可以證明，默默無聞絕對(duì)不是安全。

這意味著黑客可以有效地使August Smart Lock Pro + Connect脫機(jī)，等待設(shè)置過程開始，并在此過程中獲取加密密鑰。

8月份的反應(yīng)好壞參半

現(xiàn)在，如上所述，8月被通知為12月。在調(diào)查過程中，PCMag還設(shè)法在8月發(fā)表評(píng)論。該公司最初打算在6月份與Bitdefender的共同披露者及時(shí)解決問題。但這失敗了，據(jù)報(bào)道問題仍然沒有解決。

根據(jù)August的說法，團(tuán)隊(duì)“已經(jīng)意識(shí)到該漏洞并正在努力解決問題”。它還說尚未得知任何受影響的用戶。首先，盡管很難確定用戶的注意方式。尤其是因?yàn)樵獾狡茐牡氖撬麄兊腤i-Fi網(wǎng)絡(luò)，而不是智能鎖。

該公司還重申，實(shí)際上這是實(shí)施起來很困難的攻擊。但是它的響應(yīng)確實(shí)避開了Bitdefender能夠解決如何強(qiáng)制安裝并利用漏洞的事實(shí)。據(jù)報(bào)道，只有使用Android進(jìn)行安裝時(shí)，這種攻擊才可能發(fā)生。iOS設(shè)備不受影響。