ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → 超过1亿物联网(IoT)设备遭受Z-Wave无线通信协议攻击

超过1亿物联网(IoT)设备遭受Z-Wave无线通信协议攻击

时间:2018-05-25 00:00:00人气:作者:本站作者我要评论

研究人员已经证明,超过1亿物联网(IoT)设备使用的Z-Wave无线通信协议容易受到安全降级攻击。

超过1亿物联网(IoT)设备遭受Z-Wave无线通信协议攻击

Z-Wave是一种主要用于家庭自动化的协议,使用低能量无线电波进行距离达100米(330英尺)的无线通信。Z-Wave在2001年由Zensys开发,2008年被Sigma Designs收购,后者最近以2.4亿美元的价格将其出售给Silicon Labs。Z-Wave容易受到降级攻击

Z-Wave联盟是一家致力于推进Z-Wave的组织,该协议目前被700多家公司用于2400多种物联网和智能家居产品,包括恒温器,锁和家庭监控系统。

总部位于英国的Pen Test Partners对Z-Wave进行了分析,发现在配对过程中,目标设备上的黑客可能发起攻击并破解所谓的安全通信。

研究人员在耶鲁大学的智能锁上展示了他们的发现 - 他们展示了攻击者如何解锁门 - 但是他们称之为“Z-Shave”的方法对任何使用Z-Wave的设备都有效。

Z-Wave依靠共享网络密钥来保护控制器和客户端设备之间的通信。配对过程的初始版本称为S0,在2013年被发现容易受到嗅探攻击,从而导致引入更安全的流程,名为S2。

S0的问题在于它使用已知的加密密钥(0000000000000000)保护网络密钥,允许目标设备范围内的攻击者拦截通信。S2通过使用更强大的加密解决了这个问题,但是研究人员发现攻击者可以将连接从S2降级到S0,从而基本上消除了保护。

黑客需要在初始配对过程中出现才能执行降级,但Pen Test Partners指出,攻击者可能会使用电池供电的黑客设备,该设备长时间处于目标房产之外,等待配对过程初始化。

“风险得到缓解,因为在配对过程中必须存在风险,但Z-Wave射频范围非常重要。研究人员解释说,我们正在研究是否可能对Z-Wave客户端设备进行取消身份验证,但这项工作正在进行中。

事实证明,这种降级攻击的一个变种被发现去年的网络安全咨询公司SensePost的,但供应商告诉专家在当时,这是由设计所需的向后兼容性。

在周三发布的一篇博客文章中,Silicon Labs向用户保证,风险很低,并强调它没有意识到任何真实世界的利用。

“虽然攻击者可能会拦截S0加密密钥交换帧并使用硬编码密钥对其进行解密,但只有在初始设置或重新安装设备时才有可能,”Silicon Labs说。“要做到这一点,攻击者需要在安装设备的过程中靠近设备 - 这是一个非常小的机会窗口。此外,在密钥交换过程中,Z-Wave设备可以将他们的无线电切换到低功率传输模式,使得数据包拦截攻击变得更加困难。“

该公司补充说: “ 如果没有房主的注意,就不可能执行攻击,因为他们会在配对过程中收到来自S2控制器的警告。”

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网