美國 FBI 聯邦調查局本週警告,被盜的電子郵件密碼會用來劫持智慧家庭安全系統,進而對毫無戒心的使用者展開「誣報警」(Swatting)的報復性或玩笑性攻擊。公告是在相關裝置製造商向執法機構通報此問題後發布。
誣報警成為駭客遠端看好戲、線上大放送的惡意消遣
誣報警(又稱假報警,亦即向警方報假案)是極其危險的惡作劇,警方接到假冒緊急狀況的報案電話後,會前來受害者家中處理。FBI 公告指出:「誣報警可能出於報復、騷擾或惡作劇等動機與理由,但此舉無異於可能造成致命後果的嚴重犯罪行為。
透過存取目標家用安全裝置,攻擊者可向當局撥打求救電話,並在特警出現時遠端全程看好戲。FBI 指出,透過真正的安全裝置撥打求救電話,駭客不但可匿名,且看起來更真實。
「最近,犯罪份子一直透過受害者的智慧裝置(包括具影音功能的家用監控裝置)進行誣報警攻擊。」FBI 公共服務公告寫道。「為了獲得智慧裝置的存取權限,犯罪份子可能會在一些習慣將電子郵件密碼重複使用於智慧裝置的顧客找到可下手的漏洞。犯罪者使用竊取的電子郵件密碼登錄智慧裝置,並劫持即時串流攝影機和內建喇叭等功能。」
聯邦調查局解釋,過去惡意攻擊者會假冒電話號碼,讓電話看起來像來自受害者。如今這個全新手法會直接從受劫持裝置撥打電話。「他們接著報警,通報受害者住所發生的犯罪,」FBI 聲明指出:「當執法人員回應報案出動時,犯罪者會觀看直播,並透過攝影機和喇叭與警察互動。在某些情況下,犯罪者還會在共享的線上社群平台直播經過。」
為了降低這類攻擊的可能風險,今年初 Ring 於早就強制要求的雙重身分驗證之外,又推出附加的安全防護層,包括要求使用一次性 6 位數密碼登錄;一旦有人登錄時會警示;控制存取第三方服務供應商(會有遭入侵的風險)的工具。Ring 也準備推出點到點視訊加密機制。
二線品牌家用安全裝置漏洞百出,資訊保全公司視為「家庭 IoT 夢魘」
資訊保全公司 NCC 集團 12 月對二線品牌智慧門鈴(包括品牌 Victure、Qihoo奇虎 360 和 Accfly)評估發現,安全漏洞使這些裝置對使用者的危害遠遠超過幫助,並將這些流行的小工具歸類為「家庭物聯網的夢魘」。評估並未將 Ring、Nest、Vivint 和 Remo 等一線頂級智慧家庭安全品牌列入。
報告詳細介紹許多未提及的功能,如 Qihoo 裝置功能完備的 DNS 服務;由於通訊未支援加密功能,因此可瞬間解鎖的數位鎖;以及很容易被犯罪份子篡改的劣質硬體。相信買了這些裝置的使用者有可能淪為受害者。
所幸,目前消費性裝置開始出現更安全的趨勢,亦即要求使用者裝置設定過程必須設定自己專屬的複雜密碼,不再容許使用裝置出廠的預設密碼。Ring 一連串祭出多重認證(MFA)與其他安全防護措施,皆可視為家用安全裝置開始邁向正確安全防護之路的努力。
(首圖來源:Victure)
