圖片來源: 

McAfee

McAfee Labs本周指出,知名的電腦周邊製造商Belkin所生產的智慧插頭Wemo Insight Smart Plug含有一緩衝區溢位漏洞,將允許駭客執行遠端程式攻擊。

Belkin除了製造電腦及手機的周邊商品之外,也有少許的智慧家庭裝置,如智慧開關或智慧插頭,McAfee所測試的則是Wemo Insight Smart Plug智慧插頭,它是一個插座轉接器,先插在傳統插座上,再連結其它的家電,並以Wemo程式來控制Smart Plug的供電與否。

Smart Plug可計算家電的電力使用,可控制供電能力的Wemo還有自動化功能,能定時開啟燈光或恆溫器,或可啟動「Away」模式,不定時地切換家裡的電燈供電,讓不在家的主人可以偽裝屋內有人。一組兩個的Wemo Insight Smart Plug售價為74.99美元。

不過,McAfee發現Wemo Insight Smart Plug的韌體含有編號為CVE-2018-6692的安全漏洞,這是一個存在於libUPnPHndlr.so函式庫的緩衝區溢位漏洞,允許駭客自遠端執行任意程式。

McAfee表示,如果該漏洞只會影響Wemo Insight Smart Plug,那駭客頂多只能一直切換電源,但若該Smart Plug連結了家中的Wi-Fi網路,駭客就能掌控家中的其它連網裝置。

在McAfee所描述的攻擊場景中,在成功入侵Wemo Insight Smart Plug之後,可利用內建的UPnP函式庫於路由器上建立一個後門通道,藉以控制家中的所有連網裝置,例如開啟或關閉智慧電視,安裝或移除電視上的應用程式,也能命令電視存取各種內容。

研究人員提醒,IoT裝置的安全性經常被忽視的原因之一是它們通常只被用來執行簡單的自動化功能,然而,他們所發現的漏洞卻可能成為駭客進入家庭或企業網路的入口,IoT裝置上所執行的作業系統應該也要具備與桌面作業系統同等級的安全保障。

McAfee已於今年5月將該漏洞提報給Belkin,但尚未被修補。


Advertisement

更多 iThome相關內容