原文標題:小心,你的掃地機器人、咖啡機都有可能竊取你的比特幣?
原文作者:深潮 Techflow
原文來源:
編譯:Daisy, 火星財經
掃地機器人以及其他智慧家電設備很容易被駭客入侵,用來記錄你的密碼輸入或助記詞。想象一下,有一天早晨醒來發現掃地機器人失控,冰箱開始向你索要贖金,而你的加密貨幣和銀行帳戶資金已被洗劫一空。
這不是史蒂芬.金 1986 年的恐怖電影《火魔戰車》(Maximum Overdrive)裏的情節,那部電影講述了一顆流浪彗星引發全球機器殺人狂潮的故事。
相反,如果駭客通過你家中的智慧設備入侵你的電腦可能導致的現實風險。隨着全球 IoT 設備數量預計達到 188 億,每天平均發生約 82 萬次 IoT 攻擊,這種場景的可能性正在增加。
「不安全的物聯網設備(例如路由器)可能成爲入侵家庭網路的入口,」區塊鏈安全公司 Beosin 的研究員 Tao Pan 在接受採訪時表示。
截至 2023 年,美國普通家庭平均擁有 21 臺聯網設備,其中三分之一的智慧家庭設備消費者在過去 12 個月內經歷過資料外泄或詐騙事件。
「一旦被駭客入侵,攻擊者可以橫向移動來存取連接的設備,包括用於加密貨幣交易的電腦或手機,還可以捕獲設備與交易所之間的登入憑證。這對於使用 API 進行加密貨幣交易的使用者尤其危險,」他補充道。
那麼,駭客究竟能竊取您家裏的哪些信息,又能造成哪些損害呢?
《Magazine》收集了過去幾年發生的一些最離奇的駭客事件,其中包括一起門禁感測器被駭客入侵以挖掘加密貨幣的案例。我們還整理了一些保護資料和加密貨幣安全的實用建議。
入侵咖啡機
2019 年,網路安全公司 Avast 的研究員 Martin Hron 展示了駭客如何輕鬆存取家庭網路及其設備的方法。
他選擇了一個簡單的目標:遠端入侵自己的咖啡機。
Hron 解釋說,與大多數智慧設備一樣,咖啡機採用預設設置,無需密碼即可將設備連接到 WiFi,這使得將惡意程序碼上傳到機器中變得很容易。
「許多物聯網設備首先通過其自身的 WiFi 網路連接到家庭網路,該網路僅用於設置設備。理想情況下,消費者會立即使用密碼保護該 WiFi 網路,」Hron 解釋道。
「但許多設備在出廠時都沒有設置密碼來保護 WiFi 網路,而且許多消費者也沒有設置密碼,」他補充道。
原影片連結
「我可以爲所欲爲,因爲我可以替換韌體,也就是操作咖啡機的軟件。而且我可以用任何我想要的東西替換它。我可以新增功能,刪除功能,還可以攻破內建的安全措施。所以,我可以爲所欲爲,」他在 Avast 發布的影片中說道。
在他的演示中,Hron 通過咖啡機顯示了一封勒索信,設備被鎖定,除非支付贖金,否則無法使用。
你可以選擇關閉設備,但這意味着你再也喝不到咖啡了(Avast/YouTube)
然而,除了顯示勒索信,咖啡機還可能被用來執行更惡意的操作,比如打開加熱器制造火災隱患,或者噴射沸水以威脅受害者。
更可怕的是,它可能悄悄地成爲進入整個網路的入口,讓駭客可以監視你的銀行帳戶信息、郵件甚至加密助記詞。
入侵賭場魚缸
最著名的案例之一發生在 2017 年,駭客通過入侵拉斯維加斯一家賭場大廳內的聯網魚缸,傳輸了 10GB 的資料。
魚缸配備了用於調節溫度、喂食和清潔的感測器,這些感測器連接到賭場網路上的一臺電腦。駭客通過魚缸進入網路的其他區域,並將資料發送到芬蘭的遠端服務器。
魚缸可能看起來像這樣(Muhammad Ayan Butt/ Unsplash)
盡管賭場部署了常規的防火牆和防毒軟件,攻擊仍然成功進行。幸運的是,攻擊迅速被識別並處理。
網路安全公司 Darktrace 執行長 Nicole Eagan 當時告訴 BBC:「我們立即阻止了它,沒有造成任何損害。」她還補充說,互聯網連接設備數量的不斷增長意味着「那裏是駭客的天堂」。
門感測器還可以偷偷挖礦
2020 年,在全球因新冠疫情而關閉的辦公室裏,網路安全公司 Darktrace 發現了一起祕密加密貨幣挖礦事件——駭客利用控制辦公室生物門禁的服務器進行非法挖礦。
這起事件的線索來源於服務器從一個未曾在網路中出現過的外部 IP 位址下載了可疑的可執行檔案。隨後,服務器多次連接到與隱私代幣門羅幣(Monero)礦池相關的外部端點。
這種攻擊被稱爲「加密劫持」(Cryptojacking),微軟威脅情報團隊在 2023 年發現了更多此類攻擊案例,駭客將目標鎖定在 Linux 系統和連接到互聯網的智慧設備。
微軟調查發現,攻擊者會通過暴力破解接入互聯網的 Linux 和物聯網設備來發起攻擊。一旦進入網路,他們會安裝後門程序,隨後下載並運行加密貨幣挖礦惡意軟件。這不僅會導致電費飆升,還會將所有挖礦收益直接轉入駭客的錢包。
這種加密劫持的案例層出不窮,其中一個最新案例涉及將加密劫持程序碼嵌入僞造的 404 HTML 頁面中。
駭客入侵智慧設備:摧毀電網
更可怕的是,普林斯頓大學的安全研究人員曾提出一種假設:如果駭客能控制足夠多的高耗能設備,比如 21 萬臺空調,並讓它們同時開啓,將可能導致相當於加州人口,約 3800 萬人突然斷電。
這些設備需要集中在電網的某一部分,同時開啓,以導致某些電力線路的電流過載,從而損壞或觸發線路上的保護繼電器,使其關閉。這會將負載轉移到剩餘的線路上,進一步加劇電網壓力,最終引發連鎖反應。
不過,這種情況需要精確的惡意時間安排,因爲電網波動在特殊天氣(如熱浪)期間是常見現象。
掃地機器人正在看着你
去年,美國多地的掃地機器人突然開始自行啓動。原來,駭客發現了一款中國制造的 Ecovac 掃地機器人存在嚴重的安全漏洞。
據報道,駭客可以遠端操控這些設備,用它們恐嚇寵物,通過內建揚聲器對使用者大喊髒話,甚至使用內建攝影機窺探使用者家中環境。
一張來自被駭的 Ecovac 掃地機器人即時畫面的圖片(BCH 新聞)
「物聯網設備的一個嚴重問題是,許多廠商仍然對安全問題關注不足,」網路安全公司 Kaspersky 表示。
顯而易見,如果駭客掌握了你輸入密碼或記錄助記詞的視頻畫面,後果將不堪設想。
如何保護自己免受智慧設備駭客攻擊?
環顧四周,你可能會發現家中幾乎所有設備都連接了互聯網——掃地機器人、數位相框、門鈴攝影機。那麼你該如何保障你的比特幣安全呢?
一種選擇是採用專業駭客 Joe Grand 的方法:徹底避免使用任何智慧設備。
「我的手機是家裏最智慧的設備,但即使如此,我也不情願使用手機,只是爲了導航和與家人溝通,」他曾告訴《Magazine》,「但智慧設備?絕對不可能。」
Avast 的 Hron 表示,最好的辦法是確保爲智慧設備設置密碼,並避免使用預設設置。
其他專家建議,爲物聯網設備使用獨立的訪客網路,尤其是那些無需與電腦和手機共享網路的設備;在設備不使用時斷開連接;並保持軟件及時更新。
此外,還有一種聯網收費搜尋引擎,可以幫助使用者查看家中聯網設備及可能存在的漏洞。
10.7萬 熱度
2萬 熱度
1.1萬 熱度
17.1萬 熱度
1197 熱度
智能家電正變成駭客的「黑暗入口」,你的助記詞可能已被監視!
原文標題:小心,你的掃地機器人、咖啡機都有可能竊取你的比特幣?
原文作者:深潮 Techflow
原文來源:
編譯:Daisy, 火星財經
掃地機器人以及其他智慧家電設備很容易被駭客入侵,用來記錄你的密碼輸入或助記詞。想象一下,有一天早晨醒來發現掃地機器人失控,冰箱開始向你索要贖金,而你的加密貨幣和銀行帳戶資金已被洗劫一空。
這不是史蒂芬.金 1986 年的恐怖電影《火魔戰車》(Maximum Overdrive)裏的情節,那部電影講述了一顆流浪彗星引發全球機器殺人狂潮的故事。
相反,如果駭客通過你家中的智慧設備入侵你的電腦可能導致的現實風險。隨着全球 IoT 設備數量預計達到 188 億,每天平均發生約 82 萬次 IoT 攻擊,這種場景的可能性正在增加。
「不安全的物聯網設備(例如路由器)可能成爲入侵家庭網路的入口,」區塊鏈安全公司 Beosin 的研究員 Tao Pan 在接受採訪時表示。
截至 2023 年,美國普通家庭平均擁有 21 臺聯網設備,其中三分之一的智慧家庭設備消費者在過去 12 個月內經歷過資料外泄或詐騙事件。
「一旦被駭客入侵,攻擊者可以橫向移動來存取連接的設備,包括用於加密貨幣交易的電腦或手機,還可以捕獲設備與交易所之間的登入憑證。這對於使用 API 進行加密貨幣交易的使用者尤其危險,」他補充道。
那麼,駭客究竟能竊取您家裏的哪些信息,又能造成哪些損害呢?
《Magazine》收集了過去幾年發生的一些最離奇的駭客事件,其中包括一起門禁感測器被駭客入侵以挖掘加密貨幣的案例。我們還整理了一些保護資料和加密貨幣安全的實用建議。
入侵咖啡機
2019 年,網路安全公司 Avast 的研究員 Martin Hron 展示了駭客如何輕鬆存取家庭網路及其設備的方法。
他選擇了一個簡單的目標:遠端入侵自己的咖啡機。
Hron 解釋說,與大多數智慧設備一樣,咖啡機採用預設設置,無需密碼即可將設備連接到 WiFi,這使得將惡意程序碼上傳到機器中變得很容易。
「許多物聯網設備首先通過其自身的 WiFi 網路連接到家庭網路,該網路僅用於設置設備。理想情況下,消費者會立即使用密碼保護該 WiFi 網路,」Hron 解釋道。
「但許多設備在出廠時都沒有設置密碼來保護 WiFi 網路,而且許多消費者也沒有設置密碼,」他補充道。
原影片連結
「我可以爲所欲爲,因爲我可以替換韌體,也就是操作咖啡機的軟件。而且我可以用任何我想要的東西替換它。我可以新增功能,刪除功能,還可以攻破內建的安全措施。所以,我可以爲所欲爲,」他在 Avast 發布的影片中說道。
在他的演示中,Hron 通過咖啡機顯示了一封勒索信,設備被鎖定,除非支付贖金,否則無法使用。
你可以選擇關閉設備,但這意味着你再也喝不到咖啡了(Avast/YouTube)
然而,除了顯示勒索信,咖啡機還可能被用來執行更惡意的操作,比如打開加熱器制造火災隱患,或者噴射沸水以威脅受害者。
更可怕的是,它可能悄悄地成爲進入整個網路的入口,讓駭客可以監視你的銀行帳戶信息、郵件甚至加密助記詞。
入侵賭場魚缸
最著名的案例之一發生在 2017 年,駭客通過入侵拉斯維加斯一家賭場大廳內的聯網魚缸,傳輸了 10GB 的資料。
魚缸配備了用於調節溫度、喂食和清潔的感測器,這些感測器連接到賭場網路上的一臺電腦。駭客通過魚缸進入網路的其他區域,並將資料發送到芬蘭的遠端服務器。
魚缸可能看起來像這樣(Muhammad Ayan Butt/ Unsplash)
盡管賭場部署了常規的防火牆和防毒軟件,攻擊仍然成功進行。幸運的是,攻擊迅速被識別並處理。
網路安全公司 Darktrace 執行長 Nicole Eagan 當時告訴 BBC:「我們立即阻止了它,沒有造成任何損害。」她還補充說,互聯網連接設備數量的不斷增長意味着「那裏是駭客的天堂」。
門感測器還可以偷偷挖礦
2020 年,在全球因新冠疫情而關閉的辦公室裏,網路安全公司 Darktrace 發現了一起祕密加密貨幣挖礦事件——駭客利用控制辦公室生物門禁的服務器進行非法挖礦。
這起事件的線索來源於服務器從一個未曾在網路中出現過的外部 IP 位址下載了可疑的可執行檔案。隨後,服務器多次連接到與隱私代幣門羅幣(Monero)礦池相關的外部端點。
這種攻擊被稱爲「加密劫持」(Cryptojacking),微軟威脅情報團隊在 2023 年發現了更多此類攻擊案例,駭客將目標鎖定在 Linux 系統和連接到互聯網的智慧設備。
微軟調查發現,攻擊者會通過暴力破解接入互聯網的 Linux 和物聯網設備來發起攻擊。一旦進入網路,他們會安裝後門程序,隨後下載並運行加密貨幣挖礦惡意軟件。這不僅會導致電費飆升,還會將所有挖礦收益直接轉入駭客的錢包。
這種加密劫持的案例層出不窮,其中一個最新案例涉及將加密劫持程序碼嵌入僞造的 404 HTML 頁面中。
駭客入侵智慧設備:摧毀電網
更可怕的是,普林斯頓大學的安全研究人員曾提出一種假設:如果駭客能控制足夠多的高耗能設備,比如 21 萬臺空調,並讓它們同時開啓,將可能導致相當於加州人口,約 3800 萬人突然斷電。
這些設備需要集中在電網的某一部分,同時開啓,以導致某些電力線路的電流過載,從而損壞或觸發線路上的保護繼電器,使其關閉。這會將負載轉移到剩餘的線路上,進一步加劇電網壓力,最終引發連鎖反應。
不過,這種情況需要精確的惡意時間安排,因爲電網波動在特殊天氣(如熱浪)期間是常見現象。
掃地機器人正在看着你
去年,美國多地的掃地機器人突然開始自行啓動。原來,駭客發現了一款中國制造的 Ecovac 掃地機器人存在嚴重的安全漏洞。
據報道,駭客可以遠端操控這些設備,用它們恐嚇寵物,通過內建揚聲器對使用者大喊髒話,甚至使用內建攝影機窺探使用者家中環境。
一張來自被駭的 Ecovac 掃地機器人即時畫面的圖片(BCH 新聞)
「物聯網設備的一個嚴重問題是,許多廠商仍然對安全問題關注不足,」網路安全公司 Kaspersky 表示。
顯而易見,如果駭客掌握了你輸入密碼或記錄助記詞的視頻畫面,後果將不堪設想。
如何保護自己免受智慧設備駭客攻擊?
環顧四周,你可能會發現家中幾乎所有設備都連接了互聯網——掃地機器人、數位相框、門鈴攝影機。那麼你該如何保障你的比特幣安全呢?
一種選擇是採用專業駭客 Joe Grand 的方法:徹底避免使用任何智慧設備。
「我的手機是家裏最智慧的設備,但即使如此,我也不情願使用手機,只是爲了導航和與家人溝通,」他曾告訴《Magazine》,「但智慧設備?絕對不可能。」
Avast 的 Hron 表示,最好的辦法是確保爲智慧設備設置密碼,並避免使用預設設置。
其他專家建議,爲物聯網設備使用獨立的訪客網路,尤其是那些無需與電腦和手機共享網路的設備;在設備不使用時斷開連接;並保持軟件及時更新。
此外,還有一種聯網收費搜尋引擎,可以幫助使用者查看家中聯網設備及可能存在的漏洞。