作者：Shaun Nichols

一位學(xué)術(shù)研究人員展示了物聯(lián)網(wǎng)智能鎖如何成為盜竊者暗中竊取指紋，并可能獲取更敏感個(gè)人數(shù)據(jù)的工具。一項(xiàng)最新研究顯示，消費(fèi)者智能鎖很容易被破解，從而讓盜竊者竊取目標(biāo)用戶的指紋模式。新加坡詹姆斯庫(kù)克大學(xué)本周發(fā)表的一篇論文描述了攻擊者如何利用現(xiàn)成的硬件和一些黑客技術(shù)，通過一種名為droplock的智能鎖破解技術(shù)，偷偷獲取指紋。據(jù)作者兼高級(jí)網(wǎng)絡(luò)安全講師StevenKerrison所說，其弱點(diǎn)在于物聯(lián)網(wǎng)智能鎖使用的硬件存在局限性。與將指紋細(xì)節(jié)和其他生物特征數(shù)據(jù)存儲(chǔ)在，加密硬件飛地內(nèi)的智能手機(jī)或平板電腦不同，商業(yè)智能鎖等低端物聯(lián)網(wǎng)設(shè)備缺乏專用的安全存儲(chǔ)。

Kerrison在論文中寫道：“這些設(shè)備的處理器一般性能較差，傳感器價(jià)格較低，安全性也不如智能手機(jī)。根據(jù)產(chǎn)品本身的價(jià)值或傳感器要保護(hù)的內(nèi)容，這通常被認(rèn)為是可以接受的”為了證明這個(gè)弱點(diǎn)，Kerrison制造了一個(gè)概念驗(yàn)證裝置，該設(shè)備可以通過Wi-Fi連接智能鎖，并使用漏洞利用或暴露的調(diào)試接口修改鎖的固件，并使用指令來收集和上傳指紋數(shù)據(jù)。另外，可以拆卸鎖并通過板載調(diào)試板直接連接到控制器。無論哪種方式，結(jié)果都是一個(gè)鎖，當(dāng)在控制器范圍內(nèi)激活時(shí)，它能夠提供目標(biāo)指紋上的數(shù)據(jù)，然后可以用于其他生物識(shí)別硬件。與許多智能手機(jī)不同，商業(yè)智能鎖缺乏安全的存儲(chǔ)空間來保護(hù)生物識(shí)別數(shù)據(jù)。任何類型的現(xiàn)實(shí)世界攻擊都可能是在一段時(shí)間內(nèi)針對(duì)預(yù)定目標(biāo)進(jìn)行的，而不是漫無目的地大規(guī)模獲取憑證。在這種情況下，攻擊者需要接近鎖，比如標(biāo)準(zhǔn)藍(lán)牙范圍，才能在鎖被激活時(shí)收集指紋。一旦打印數(shù)據(jù)被收集，就可以隨著時(shí)間的推移使用它來訪問使用更強(qiáng)大安全措施的其他設(shè)備。在攻擊過程中，攻擊者需要有一個(gè)離鎖很近的接收設(shè)備才能可靠地傳輸指紋，所以這意味著攻擊必須更具針對(duì)性，而不是把u盤放在周圍，等著人們插上u盤，向網(wǎng)絡(luò)中發(fā)送惡意軟件。這意味著，一場(chǎng)可行的攻擊更有可能針對(duì)某個(gè)特定的受害者或受害者群體，而不是隨機(jī)發(fā)生的，通過生物識(shí)別技術(shù)獲取的資產(chǎn)必須值得付出如此大的努力。

雖然論文中概述的攻擊僅限于物聯(lián)網(wǎng)掛鎖，但Kerrison認(rèn)為，生物識(shí)別存儲(chǔ)的潛在弱點(diǎn)將延伸到其他設(shè)備，以保護(hù)更有價(jià)值的物品和數(shù)據(jù)。Kerrison說：“我從智能掛鎖開始，是因?yàn)樗鼈兊谋銛y性，以及它們?nèi)绾螢榈蹑i的想法提供幫助。然而，我非常有信心其他設(shè)備，例如智能門鎖，將很容易受到攻擊。那么問題是是否值得使用此類設(shè)備執(zhí)行攻擊?！?/p>

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。