美国FBI联邦调查局本周警告,被盗的电子邮件密码会用来劫持智能家庭安全系统,进而对毫无戒心的用户展开“报假警”(Swatting)的报复性或玩笑性攻击。公告是在相关设备制造商向执法机构通报此问题后发布。
报假警成为黑客远程看好戏、线上大放送的恶意消遣
报假警是极其危险的恶作剧,警方接到假冒紧急状况的报案电话后,会前来受害者家中处理。FBI公告指出:“报假警可能出于报复、骚扰或恶作剧等动机与理由,但此举无异于可能造成致命后果的严重犯罪行为。
通过访问目标家用安全设备,攻击者可向当局拨打求救电话,并在特警出现在远程全程看好戏。FBI指出,通过真正的安全设备拨打求救电话,黑客不但可匿名,且看起来更真实。
“最近,犯罪份子一直通过受害者的智慧设备(包括具影音功能的家用监控设备)进行报假警攻击。”FBI公共服务公告写道。“为了获得智能设备的访问权限,犯罪份子可能会在一些习惯将电子邮件密码重复使用于智能设备的顾客找到可下手的漏洞。犯罪者使用窃取的电子邮件密码登录智能设备,并劫持即时流媒体摄影机和内置音箱等功能。”
联邦调查局解释,过去恶意攻击者会假冒电话号码,让电话看起来像来自受害者。如今这个全新手法会直接从受劫持设备拨打电话。“他们接着报警,通报受害者住所发生的犯罪,”FBI声明指出:“当执法人员回应报案出动时,犯罪者会观看直播,并通过摄影机和音箱与警察交互。在某些情况下,犯罪者还会在共享的线上社群平台直播经过。”
为了降低这类攻击的可能风险,今年初Ring于早就强制要求的双重身份验证之外,又推出附加的安全防护层,包括要求使用一次性6位数密码登录;一旦有人登录时会警示;控制访问第三方服务供应商(会有遭入侵的风险)的工具。Ring也准备推出点到点视频加密机制。
二线品牌家用安全设备漏洞百出,信息保全公司视为“家庭IoT梦魇”
信息保全公司NCC集团12月对二线品牌智能门铃(包括品牌Victure、Qihoo奇虎360和Accfly)评估发现,安全漏洞使这些设备对用户的危害远远超过帮助,并将这些流行的小工具归类为“家庭物联网的梦魇”。评估并未将Ring、Nest、Vivint和Remo等一线顶级智能家庭安全品牌列入。
报告详细介绍许多未提及的功能,如Qihoo设备功能完备的DNS服务;由于通信未支持加密功能,因此可瞬间解锁的数字锁;以及很容易被犯罪份子篡改的劣质硬件。相信买了这些设备的用户有可能沦为受害者。
所幸,目前消费性设备开始出现更安全的趋势,也即要求用户设备设置过程必须设置自己专属的复杂密码,不再容许使用设备出厂的默认密码。Ring一连串祭出多重认证(MFA)与其他安全防护措施,皆可视为家用安全设备开始迈向正确安全防护之路的努力。
(首图来源:Victure)