小心了!IoT 恆溫器可能被勒索病毒綁架

作者 | 發布日期 2016 年 08 月 09 日 23:00 | 分類 物聯網 , 資訊安全 follow us in feedly
pen_test_partner_article_about_IoT_20160809

隸屬於 Pen Test Partners 公司的 Andrew Tierney 和 Ken Munro 兩位英國籍資安研究員本周在 DefCon 資安大會展示了世界上第一個可以感染智慧型恆溫器的勒索病毒。在網路時代,勒索病毒影響的範圍可能不只電腦或手機,更擴及了物聯網設備(Internet of Things,IoT)。



如果你曾經收到過勒索病毒(ransomware),你一定很驚訝於它的強大破壞力。一旦中毒,它將可以取得你電腦裡面眾多檔案格式的資料授權進而加密,若沒有在期限內繳出贖金,勒索病毒將直接刪除這些電腦資料。一般而言要求贖金的形式為比特幣(Bitcoin)。

物聯網恆溫器使用的 Linux 電腦系統,讓使用者運用 SD 卡上傳相關裝置設定;而 SD 卡正是安裝惡意程式使用的裝載工具,攻擊者透過這個方式可以取得恆溫器的控制權。這個病毒需要攻擊者主動觸發,或使用者「被欺騙」而主動引進這個惡意程式到他們的恆溫器中。

目前研究員僅先行「弱點揭露」,並尚未公佈該恆溫器的產品名稱及製造商,也尚未聯繫該廠商進行後續的系統維修及更正。幸運的是,研究員表示,這是一個容易處理的小問題。

這個研究透露出物聯網產品的脆弱,多數產品都仍有很高的可能將使用者暴露在資安危機下,包含網路上眾多的使用者密碼、或明文公佈 Gmail 帳號等。在這些物聯網產品逐漸成為居家的主流電器商品之下,我們似乎更應該看到其中嚴重的個資問題。

參考資料

(首圖來源:Pen Test Partners) 

發表迴響