作者:Shaun Nichols
一位学术研究人员展示了物联网智能锁如何成为盗窃者暗中窃取指纹,并可能获取更敏感个人数据的工具。一项最新研究显示,消费者智能锁很容易被破解,从而让盗窃者窃取目标用户的指纹模式。新加坡詹姆斯库克大学本周发表的一篇论文描述了攻击者如何利用现成的硬件和一些黑客技术,通过一种名为droplock的智能锁破解技术,偷偷获取指纹。据作者兼高级网络安全讲师StevenKerrison所说,其弱点在于物联网智能锁使用的硬件存在局限性。与将指纹细节和其他生物特征数据存储在,加密硬件飞地内的智能手机或平板电脑不同,商业智能锁等低端物联网设备缺乏专用的安全存储。
Kerrison在论文中写道:“这些设备的处理器一般性能较差,传感器价格较低,安全性也不如智能手机。根据产品本身的价值或传感器要保护的内容,这通常被认为是可以接受的”为了证明这个弱点,Kerrison制造了一个概念验证装置,该设备可以通过Wi-Fi连接智能锁,并使用漏洞利用或暴露的调试接口修改锁的固件,并使用指令来收集和上传指纹数据。另外,可以拆卸锁并通过板载调试板直接连接到控制器。无论哪种方式,结果都是一个锁,当在控制器范围内激活时,它能够提供目标指纹上的数据,然后可以用于其他生物识别硬件。与许多智能手机不同,商业智能锁缺乏安全的存储空间来保护生物识别数据。任何类型的现实世界攻击都可能是在一段时间内针对预定目标进行的,而不是漫无目的地大规模获取凭证。在这种情况下,攻击者需要接近锁,比如标准蓝牙范围,才能在锁被激活时收集指纹。一旦打印数据被收集,就可以随着时间的推移使用它来访问使用更强大安全措施的其他设备。在攻击过程中,攻击者需要有一个离锁很近的接收设备才能可靠地传输指纹,所以这意味着攻击必须更具针对性,而不是把u盘放在周围,等着人们插上u盘,向网络中发送恶意软件。这意味着,一场可行的攻击更有可能针对某个特定的受害者或受害者群体,而不是随机发生的,通过生物识别技术获取的资产必须值得付出如此大的努力。
虽然论文中概述的攻击仅限于物联网挂锁,但Kerrison认为,生物识别存储的潜在弱点将延伸到其他设备,以保护更有价值的物品和数据。Kerrison说:“我从智能挂锁开始,是因为它们的便携性,以及它们如何为吊锁的想法提供帮助。然而,我非常有信心其他设备,例如智能门锁,将很容易受到攻击。那么问题是是否值得使用此类设备执行攻击。”
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。