新型攻击技术通过智能灯泡窃取用户数据

新型攻击技术通过智能灯泡窃取用户数据

智能灯泡是新的灯泡产品形式,采用嵌入式物联网核心技术,将互通核心模块嵌入到节能灯泡。智能灯泡时代人们可以根据自身个体照明需要(如颜色、温度、亮度和方向等)来设定自己喜欢的场景情景照明效果,便捷的智能手机也提供了更人性化的智能控制渠道,营造不同的室内智能照明效果。然而,就像电网、水网、以及其他各种家用物联网设备一样,智能灯泡也被网络犯罪分子列为了攻击目标。

早在2016年,美国《纽约时报》发布的一篇题为《IoT Goes Nuclear》的报道中,达尔豪斯大学魏茨曼科学研究所的研究团队进行了一项关于智能灯泡实验。研究人员们遥控着一架无人机,让它飞到建筑外部一个可以识别Wi-Fi连接的区域内,然后发起进攻。他们只要攻击一只智能灯泡,其他灯泡便会像被传染了似的,也开始狂闪起来。当无人机飞得离建筑更近一些时,就会有更多的灯泡中招。更糟糕的是,在这个过程中,研究人员完全不需要接触到灯泡——这些灯泡是被几百米开外的无人机或汽车传染的。据悉,研究人员们发起的传染式攻击靠的是ZigBee无线通信协议中的一个漏洞。而使用了ZigBee无线通信协议的品牌非常广泛,其中甚至包括飞利浦Hue等驰名世界的智能产品。

无独有偶,最近又有一些来自德克萨斯大学圣安东尼奥分校的研究人员发现一些智能灯泡能够获得个人设备中隐藏的数据,并通过从远处记录它们的亮度模式俩泄露用户的多媒体偏好。光源能够成为一种攻击手段,前提是需要满足一些条件,如支持多媒体可视化以及红外功能。攻击者不需要攻击用户的内部网络来提取信息,他们只需要将目标设备和灯泡直接连接,并在信息提取过程中与灯泡进行视线连接。

演示受害者的音乐和视频偏好

来自德克萨斯大学圣安东尼奥分校的Anindya Maiti和Murtuza Jadliwala研究了LIFX和飞利浦色彩灯泡在室内是如何接收播放可视化命令的,以及如何开发一个模型来解释听音乐或观看视频出现的亮度、颜色调节的。

通过音频可视化,灯泡的亮度级别可以反映声音源。同样的,通过视频可视化,相应的调节也反映了当前播放视频的主色调和亮度级别。相关的手机应用程序通过向灯泡发送特殊格式的数据包来控制灯泡振动。由两位研究人员开发的模型要求建立一个光照模式数据库,如歌曲和视频“词典库”,可以用作从目标捕获的配置文件的参考。

新型攻击技术通过智能灯泡窃取用户数据

电影画面和LIFX可视化

个人设备的数据泄露

如果满足某些条件(不仅仅是简单地观察灯光模式),是可以实现从个人设备中提取数据信息的。智能灯泡需要支持红外照明,但是不要授权本地网络来控制它们。此外,攻击者需要植入恶意软件,对目标设备的私人数据进行编码,并将其发送到智能灯泡中。

新型攻击技术通过智能灯泡窃取用户数据

室内外观察点

研究人员使用室内外两个观察点来获取数据。显然,室内观察点记录的结果相对更准确,而且曝光时间越长,结果越精确。

通过100个收集的歌曲样本,研究人员揭示了针对音频预测的结果:“51首处于最高级别的歌曲被准确地预测,另外82首歌曲的体裁类型也预测的毫无偏差。”

通过诸如振幅和/或波长偏移键控的传输技术,利用智能灯泡(LIFX)的可见光和红外光谱,可以实现数据的获取。

为了检测这种通过红外数据泄漏数据的方法,研究人员选择在光源处对图像进行编码,并在最远达50米的不同距离处对其进行解码。在5m处,提取的图片是高度清晰的,然而随着距离越来越远,图片清晰度也随之下降。但是在最远的50米处,基本上还是可以分辨出图片的信息的。

新型攻击技术通过智能灯泡窃取用户数据

不同距离的图片效果

两位研究人员的工作虽然只是实验性质的,但它表明使用红外光可以从相对较远的距离窃取有意义的信息。防御这些攻击手段,只需要让室外观察室内的可见度降低即可,可以借助窗帘,或者选择低透光率的窗户玻璃也不失为一种防御措施。

总结

“智能家庭”并不意味着“安全家庭”,很多物联网设备目前都存在不少的安全漏洞,而这些漏洞很可能会让网络犯罪分子“进入”你的家。由于造价低廉的无线模块的兴起,我们的周围还充斥着大量安全系数极低的智能设备,物联网设备目前还需要大幅完善自身的安全防范技术。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/tech/112842.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code