照明燈從托馬斯·愛迪生的鎢絲燈發(fā)展到半導(dǎo)體照明，而今已經(jīng)成為聯(lián)網(wǎng)的電子產(chǎn)品。 飛利浦公司的智能照明產(chǎn)品可提供1600萬種顏色變化，利用手機(jī)APP就可以進(jìn)行遙控調(diào)節(jié)無疑是其中比較成功的一例。

照明產(chǎn)品加入物聯(lián)網(wǎng)是一次科技飛躍，不過這也意味著這些裝置也面臨著與其它聯(lián)網(wǎng)家電一樣的安全隱患。

安全研究員Nitesh Dhanjani日前展示了針對飛利浦HUE智能照明系統(tǒng)的攻擊技術(shù)，可以讓受害者完全處于黑暗中。由于認(rèn)證問題，HUE個人無線系統(tǒng)可能會讓用戶遭受黑客攻擊，導(dǎo)致出現(xiàn)電燈關(guān)閉事件。

理論上來說，黑客利用惡意軟件加載到對方計算機(jī)中，對對方聯(lián)網(wǎng)的燈具發(fā)出關(guān)閉的指令，燈泡的供電系統(tǒng)正常但是卻不會正常照明。這就是說，燈具處于正常的關(guān)閉狀態(tài)。這聽起來或許沒有那么糟糕，因?yàn)榭梢允謩哟蜷_燈泡，但是惡意軟件會持續(xù)工作，并在燈泡正常照明的一剎將之關(guān)閉。

這個惡意軟件能夠隨意侵入任何Hue系統(tǒng)。在這種情況下，燈具不會聽從控制程序中的任何命令，也無法改變燈光顏色。

這位研究員表示，HUE系統(tǒng)生成令牌白名單，可用于無線橋?qū)χ噶钸M(jìn)行認(rèn)證。令牌是認(rèn)證設(shè)備MAC地址的MD5散列。這導(dǎo)致惡意軟件通過查看感染設(shè)備的ARP緩存，可以計算白名單令牌，從而可以導(dǎo)致持續(xù)的照明系統(tǒng)關(guān)閉事件。

用戶可以在蘋果商店和其他地方購買HUE系統(tǒng)，通過iOS和Android應(yīng)用對1600萬種顏色的照明燈泡進(jìn)行配置。飛利浦發(fā)言人在聲明中表示，該公司使用工業(yè)標(biāo)準(zhǔn)加密與認(rèn)證技術(shù)，來確保未經(jīng)授權(quán)不能訪問照明系統(tǒng)。

該發(fā)言人表示，這種攻擊需要有專有本地網(wǎng)絡(luò)內(nèi)的計算機(jī)發(fā)布內(nèi)部指令，這意味著如果家庭網(wǎng)絡(luò)得到有效保護(hù)，設(shè)備與互聯(lián)網(wǎng)之間的流量處于安全狀態(tài)，就不會出現(xiàn)安全風(fēng)險。

Dhanjani指出，HUE系統(tǒng)的無線橋使用一組令牌來對請求進(jìn)行認(rèn)證。同一網(wǎng)絡(luò)的任何用戶只要知道任一令牌，就可以發(fā)布HTTP指令來改變電燈的狀態(tài)。

根據(jù)這一研究，通過HUE網(wǎng)站或iOS應(yīng)用來控制燈泡時，令牌白名單并不是隨機(jī)的，而是臺式機(jī)、筆記本或iPhone等設(shè)備MAC地址的MD5散列

該研究人員表示，照明對于物理安全至關(guān)重要。智能燈光系統(tǒng)可能被安裝在住宅和公司建筑中。入侵者遠(yuǎn)程關(guān)閉醫(yī)院和其他公共場所的照明可能會導(dǎo)致嚴(yán)重的后果。

Hue系統(tǒng)工程師George Yianni表示，已經(jīng)就Dhanjani的研究與研究人員進(jìn)行討論。飛利浦會認(rèn)真對待這個問題。 （責(zé)任編輯：紫荊）

來源：新浪科技