圖片來源: 

Amazon

物聯網資安業者Dojo在世界行動通訊大會(MWC)上,藉由概念性驗證程式展示如何入侵並取代Amazon Ring智慧門鈴所傳輸的內容。

Amazon是在去年3月以10億美元收購了智慧門鈴製造商Ring,同名的Ring智慧門鈴可提供手機程式與門鈴雙向通訊,讓使用者藉由手機就能接聽門鈴,若安裝了智慧鎖還能自遠端開門。

Dojo執行長Yossi Atias說明,Ring裝置與行動程式是以AWS作為中繼站,而他們所發現的漏洞則是存在於雲端及Ring程式之間,只要能入侵家中的Wi-Fi網路或其它智慧裝置,就能存取應用程式的流量,並得知裝置主人是否在家。

假設裝置主人正在回家路上,駭客也可啟用一個偽造的Wi-Fi連線等待受害者上鉤,或是與受害者處於同一個公共Wi-Fi網路上。

之後即可利用簡單的APR攻擊(ARP spoofing)取得傳送到Ring程式的資料,繼之利用同樣的手法竄改傳送至Ring程式的資料。因此,可能的攻擊場景為駭客先攔截傳送至Ring程式的合法資料,也許是保姆或清潔人員來按門鈴,並在駭客準備闖進家中時,再以這些合法的聲音或影片頂替。

在收到Dojo的通知之後,Ring於兩周內就釋出了Ring 3.4.7程式以進行修補。


Advertisement

更多 iThome相關內容