智慧咖啡机「连网未加密」 成骇客入侵索财绝佳目标
现在连智慧咖啡机都可能被骇!网路安全软体公司Avast高级研究员赫伦(Martin Hron)近日发明一项技术,可以入侵智慧咖啡机植入勒索软体,借以索取财物,不幸被选上的咖啡机不但无法使用,还会持续启动、不断喷出热水,并发出蜂鸣声等,迫使受害者掏钱「赎机」。
据《福斯新闻》报导,赫伦利用marter公司的咖啡机做为测试,该款机器可以用智慧型手机或平板遥控来煮咖啡,但赫伦透露,咖啡机一旦打开,便会开始连接Wi-Fi,但过程中几乎没有任何加密、授权或验证程序,形成一个入侵漏洞。
▲被Avast高级研究员赫伦用来示范勒索软体的Smarter咖啡机。(图/截取自Smarter官网)
赫伦表示,咖啡机缺乏任何形式的安全保护,任何能访问网路,并取得咖啡机IP位置的人都能控制它,一旦植入他所研发的勒索软体几乎毫无反抗之力,受害的咖啡机跳出勒索讯息后,不仅不能使用,还会持续启动研磨机,不断喷出热水,并发出聒噪的蜂鸣声,「我们认为这足以吓到任何人,让他们感受到巨大压力。」
想成功拿回咖啡机的控制权除了出钱「赎机」外,唯一能做的只有拔下电源插头。不过赫伦开发出该软体是个意外之举,原先他想骇入咖啡机用以采矿(加密货币),但因为CPU太慢了,才转念制成勒索软体。
好在赫伦测试的咖啡机是2017年前制造的,而Smarter已经在2017年时对设备安全性进行重大升级,所有可连网的智能产品都通过了网路安全认证。Smarter表示,「2016年售出的第一代机型不多,也已经停止更新,但若客户遇到问题,我们都将进行审查,并持续提供必要的客户服务。」