美国黑客组织GTVHacker本周曝光了Nest智能恒温器Nest Learning Thermostat的一个漏洞。通过该漏洞,黑客可以基于运动探测器信息、网络流量,或房间温度来了解用户是否正在家中,同时不必开启这一设备。通过Nest智能恒温器,用户可以获得很多有趣的智能功能,例如彻底替代Nest的软件。
那么这一攻击需要如何实施?与攻击其他移动设备或互联家居设备的方法类似,黑客需要首先获得一台Nest智能恒温器。就我们所知,目前没有任何设备遭到远程入侵”。因此对大部门用户而言,不必担心黑客闯入家中,对自己的设备进行修改。这看起来像是正当更新,但留下了一个后门,而设备所有者甚至完全不会意识到发生了任何改变。
根据GTVHacker的说法,这种攻击利用了Nest智能恒温器加载软件的通道(这需要用到USB端口,因此黑客必需实际获得设备),从而运行其Boot-Loader,并在Root权限下添加一个SSH服务器。对于这一动静,Nest回应称,该团队的软件“没有破坏我们服务器及其连接的安全性。然而,其中的漏洞也给黑客带来了可乘之机。 GTVHacker提供了一段具体视频,而该团队将在今年8月的DEFCON大会上详细演示这种攻击方式。
