回到首頁
個人.家庭.數位化 - 數位之牆



產業動態 Check Point 發現駭客能夠透過燈泡攻擊企業和家庭網路
APEX 本新聞稿發佈於2020/02/11,由發布之企業承擔內容之立場與責任,與本站無關

全球網路安全解決方案領導廠商Check Point® Software Technologies Ltd.(NASDAQ股票代碼:CHKP)的威脅情報部門 Check Point Research 今日揭露智慧照明的漏洞,駭客可利用此漏洞接管智慧燈泡及其橋接器,進而將勒索軟體或其他惡意軟體傳播到企業和家庭網路。

 
■ 發布/輪播新聞稿 新聞稿直達14萬電子報訂戶刊登新聞稿:按此 想在你的Blog上輪播產業動態按此
 
全球網路安全解決方案領導廠商Check Point® Software Technologies Ltd.(NASDAQ股票代碼:CHKP)的威脅情報部門 Check Point Research 今日揭露智慧照明的漏洞,駭客可利用此漏洞接管智慧燈泡及其橋接器,進而將勒索軟體或其他惡意軟體傳播到企業和家庭網路。

Check Point研究人員展示了攻擊者如何透過智慧燈泡及其橋接器,對物聯網中的家庭、企業甚至是智慧城市中的傳統電腦網路發起攻擊,並重點研究了市場領先的飛利浦Hue智慧燈泡和橋接器,進而發現其中的漏洞CVE-2020-6007,允許攻擊者透過攻擊使用ZigBee低功耗無線協定來控制物聯網的設備從遠端侵入網路。

2017年對ZigBee控制智慧燈泡安全性的一項分析顯示,研究人員能夠控制連網Hue燈泡,安裝惡意韌體進而傳播至相近智慧燈泡網路。利用這一遺留漏洞,Check Point更進一步使用 Hue 燈泡作為平台來接管燈泡的橋接器,最終攻擊目標的電腦網路。新一代 Hue 燈泡現已修復此漏洞。

攻擊場景如下:
1. 攻擊者控制燈泡的顏色或亮度,讓使用者誤以為燈泡出現故障。該燈泡在使用者的App中顯示為「無法連接」,讓使用者嘗試對其進行「重置」。
2. 重置燈泡的唯一方法是將它從App中刪除,然後命令橋接器重新連接燈泡。
3. 橋接器連接受攻擊的燈泡,使用者將其重新新增到網路中。
4. 攻擊者控制裝有更新韌體的燈泡並使用 ZigBee 協定漏洞向橋接器發送大量資料,以觸發堆積緩衝區溢位(heap-based buffer overflow)。此外,這些資料還允許攻擊者在橋接器上安裝惡意韌體,進而連接到目標企業或家庭網路。
5. 惡意韌體連接回攻擊者,並借助已知漏洞(如 EternalBlue),透過橋接器侵入目標 IP 網路,傳播勒索軟體或間諜軟體。

Check Point Research網路研究總監Yaniv Balmas表示:「許多人都知道物聯網設備可能帶來安全上的風險,但這項研究表明,即使是最不起眼的設備(例如燈泡)也會被駭客用於接管網路或惡意軟體植入。因此,企業和個人必須使用最新修補程式更新設備,並將其與網路上的其他設備隔離,以限制惡意軟體的潛在傳播,從而保護自身免於潛在攻擊的威脅。在複雜的第五代攻擊環境中,我們不能忽視任何連網設備的安全性。」

這項研究在特拉維夫大學 Check Point 資訊安全研究所 (CPIIS) 的幫助下完成,並於 2019 年 11 月向飛利浦和 Signify(Philips Hue品牌母公司)揭露。Signify 確認其產品存在漏洞後開發了修補程式(韌體1935144040),該修補程式已透過自動更新升級相關產品。Check Point建議此產品使用者主動檢查是否已自動更新,以確保產品升級至最新韌體。

Philips Hue技術長George Yianni 表示:「我們承諾盡一切努力確保產品安全,保護使用者隱私不受侵犯。我們衷心感謝Check Point的揭露及合作,這使我們能及時推出必要的修補程式進而避免使用者可能面臨的風險。」

攻擊過程的demo影片請見連結。完整的技術研究細節將於近日發佈,以便使用者有時間成功修補其易受攻擊的設備。

Check Point 是全球首間可提供強化和保護物聯網裝置韌體的綜合性安全解決方案廠商。此項技術由Check Point收購的以色列新創公司Cymplify提供,透過on-device防護,Check Point可幫助企業免於針對設備發動的攻擊威脅。


關注Check Point
Facebook:https://www.facebook.com/checkpoint.tw/
部落格:https://research.checkpoint.com/
Twitter:https://twitter.com/_cpresearch_

- 新聞稿有效日期,至2020/03/13為止


聯絡人 :Ruby Cheng
聯絡電話:02-7718-7777 分機580
電子郵件:Ruby@apexpr.com.tw

上一篇:微軟全新 Surface Laptop 3 即日起在台上市
下一篇:達梭 3DEXPERIENCE World 2020 號召創新者

 
搜尋本站


最新科技評論

訂閱制付費會員經營之道:我積攢一生的工作經驗 - 2020/12/06

共享經濟:以人民的名義爭奪流量入口 - 2017/06/18

影音網站的未來(三) PGC孵化IP,直播更接近長尾 - 2016/10/16

影音網站的未來(二)短影音適合往社交和工具發展 - 2016/10/09

影音網站的未來(一)長尾效應與頭部效應無法兼顧 - 2016/10/02

大部分O2O 模式違反網際網路經濟特性 - 2015/02/08

融資是怎麼回事(下)什麼人能拿到投資 - 2015/01/04

融資是怎麼回事(中)讀懂投資人的唇語 - 2014/12/21

融資是怎麼回事(上)融資是迭代的過程 - 2014/12/14

■ 訂閱每日更新產業動態
RSS
RSS

當月產業動態

Information

 

 

 




個人.家庭.數位化 - 數位之牆

欲引用本站圖文,請先取得授權。本站保留一切權利 ©Copyright 2008, DigitalWall.COM. All Rights Reserved.
Question ? Please mail to service@digitalwall.com

歡迎與本站連結!