物联网安全漏洞 LED灯泡被入侵

英国资安研究公司ContextInformationSecurity发布声明警告所有相关公司表示，由LIFX公司所生产，支持无线连网的LED灯泡存在着安全风险。“很明显地，在这股浪潮中，这些需要网络连线的设备，在安全性的要求上，并没有到达它们该有的优先等级。”Context的研究总监MichaelJordon表示。“我们也在其他像是家庭储存设备、打印机，和婴儿监视器等设备上发现许多安全弱点。的安全标准需要被认真看待，尤其是在这些公司准备将重要的设备与系统连上网络的之前。”Jordon补充。

这些由新创科技公司LIFX生产的LED灯泡，采用802.15.46LoWPAN网络，让灯泡可以在连接Wi-Fi后透过手机App连结进行遥控。只要监听网络封包，即可透过这些灯泡发现加密的网络设定讯息。基本上，要了解所使用的加密方式，Context公司必须将两个微控系统单元(TI及STM，均为Cortex-M3)与JTAG测试用连接埠连线，一但连结上之后，就可以读取加密演算法、金钥和无线网状网络协定。这些资料将让公司或企业可以置入网络封包，而这些动作将不会被侦测到。

Context随后和LIFX合作发布了韧体更新，已修补这个漏洞，现在所有6LoWPAN网络都需要使用从Wi-Fi认证机构导入的加密金钥，而LIFX新生产的灯泡也已都加入此安全机制。

“入侵灯泡并不是一件芝麻绿豆的小事，而是可能会造成网络犯罪。”Jordon说明，“在某些情况下，这些弱点可以被轻易的补强，就如同LIFX的开发者所示范的一样。在其他情况中，这些安全漏洞可能存在于产品设计的根基中。最重要的是这些安全措施必须从一开始，就被建立在所有设备里，虽然目前看起来有许多公司都存在这样的问题，但当安全问题被发现时，就能在使用者受害前提早修补。”Jordon强调。