英國資安研究公司Context Information Security發布聲明警告所有物聯網相關公司表示,由LIFX公司所生產,支持無線連網的LED燈泡存在著安全風險。“很明顯,在這股物聯網浪潮中,這些需要網絡連線的設備,在安全性的要求上,并沒有到達它們該有的優先等級。” Context的研究總監Michael Jordon表示。“我們也在其他像是家庭儲存設備、打印機,和嬰兒監視器等設備上發現許多安全弱點。物聯網的安全標準需要被認真看待,尤其是在這些公司準備將重要的設備與系統連上網絡的之前。”Jordon補充。
這些由新創科技公司LIFX生產的LED燈泡,采用802.15.46LoWPAN網絡,讓燈泡可以在連接Wi-Fi后透過手機App連結進行遙控。只要監聽網絡封包,即可透過這些燈泡發現加密的網絡設定訊息。基本上,要了解所使用的加密方式,Context公司必須將兩個微控系統單元(TI及 STM,均為Cortex-M3)與JTAG測試用連接埠連線,一但連結上之后,就可以讀取加密演算法、金鑰和無線網狀網絡協定。這些資料將讓公司或企業可以置入網絡封包,而這些動作將不會被偵測到。
Context隨后和LIFX合作發布了韌體更新,已修補這個漏洞,現在所有6LoWPAN網絡都需要使用從Wi-Fi認證機構導入的加密金鑰,而LIFX新生產的燈泡也已都加入此安全機制。
“入侵燈泡并不是一件芝麻綠豆的小事,而是可能會造成網絡犯罪。”Jordon說明,“在某些情況下,這些弱點可以被輕易的補強,就如同LIFX的開發者所示范的一樣。在其他情況中,這些安全漏洞可能存在于產品設計的根基中。最重要的是這些安全措施必須從一開始,就被建立在所有物聯網設備里,雖然目前看起來有許多物聯網公司都存在這樣的問題,但當安全問題被發現時,就能在使用者受害前提早修補。”Jordon強調。
