老王夫婦最近寢食難安。

好一陣子，他們的三歲兒子一直在抱怨有個隱形人會在晚上出來跟他講話。一開始，他們還一直叫小孩不要亂講，直到有一天他們真的聽到陌生人的聲音從他們兒子房間里安裝的嬰兒監(jiān)視器中傳出。

那個聲音說：“小朋友，快起來，你爸爸在找你。”

更令他們毛骨悚然的是，他們的窗簾每逢深夜12點便會自動打開……

咳咳，以上情景為合理想象，但眾多眾多家庭物聯(lián)網(wǎng)設(shè)備被黑的恐怖故事卻真不少。

就在昨天剛剛落下帷幕的“Xpwn 2017未來安全盛會”上，復(fù)旦大學(xué)系統(tǒng)安全攻防團(tuán)隊的談心、陳均衍、張源三位小哥哥演示了他們利用在京東微聯(lián)APP上發(fā)現(xiàn)的漏洞，控制家用電器的技術(shù)。

電影玩具總動員中所有的玩具都被賦予了思想動作，那如果黑暗中有一雙手時時刻刻都操控著你的智能家居呢？

控制手段有哪種？

隨著智能化時代的來臨，互聯(lián)網(wǎng)科技公司為了拯救那些懶癌晚期的人們推出了一些物聯(lián)網(wǎng)APP，用以幫助其控制家中空調(diào)、凈化器、電飯煲、凈水機(jī)、燈光、插座等智能設(shè)備。

拿京東微聯(lián)APP舉例，用戶可以通過兩種方式控制家里的智能設(shè)備，第一種是局域網(wǎng)控制方式，也就是說當(dāng)手機(jī)和設(shè)備處在同一個WIFI內(nèi)的情況下，手機(jī)APP可以直接通過WIFI發(fā)送加密過的控制指令給某一個設(shè)備（如空調(diào)），設(shè)備端在接收并解析消息后會執(zhí)行指令（比如開），在設(shè)備開啟后會回發(fā)狀態(tài)包給手機(jī)APP，APP顯示空調(diào)已開啟。

意味著你在家中葛優(yōu)癱，只需動動手指，窗簾自動拉開，空調(diào)自動打開，燈光自動打開……666。

第二種就是遠(yuǎn)程控制設(shè)備。設(shè)想一下，天氣炎熱，剛剛下班的程序員小哥帶著一身臭汗擠上了地鐵，懶洋洋的打開手機(jī)，點開應(yīng)用，查看了家庭里所有設(shè)施的使用，維護(hù)狀況。然后打開熱水器開始加溫，空調(diào)開始制冷，房間窗簾自動關(guān)閉，客廳開始播放音樂，加濕器開始工作，妹子躺在床上……（OK到此為止）。

此時手機(jī)APP與設(shè)備不處于同一局域網(wǎng)內(nèi)，APP會發(fā)出請求至云端服務(wù)器，服務(wù)器把控制請求轉(zhuǎn)發(fā)給具體設(shè)備，進(jìn)而遠(yuǎn)程操控設(shè)備。

然而，這里有個十分重要的問題，到底誰能夠控制這些設(shè)備呢？試想如果隔壁的張三李四都能通過一個APP控制你家里的智能設(shè)備，豈不是讓人毛骨悚然？那么APP是如何確保只有設(shè)備真正的主人才能控制這些設(shè)備的呢？

據(jù)雷鋒網(wǎng)了解，京東微聯(lián)APP的用戶在控制設(shè)備前需要先對設(shè)備進(jìn)行授權(quán)，以建立用戶與設(shè)備的對應(yīng)關(guān)系。如果一個未授權(quán)的設(shè)備與向他發(fā)起授權(quán)請求的終端或者APP在同一個局域網(wǎng)內(nèi)，那該設(shè)備會處理該請求，當(dāng)授權(quán)成功后，這個設(shè)備就會被APP所控制。而設(shè)備一旦被授權(quán)就不會被局域網(wǎng)內(nèi)其他終端或者APP再次授權(quán)，且今后只能被該用戶控制。

這就相當(dāng)于設(shè)備認(rèn)定了一個主人就不會再認(rèn)別的主人。

但是，萬萬沒想到，京東微聯(lián)APP的授權(quán)機(jī)制其實存有漏洞，惡意攻擊者可以通過這些漏洞任意控制屬于其他用戶的設(shè)備。

腫么做到任意操控他人設(shè)備？

來自復(fù)旦大學(xué)系統(tǒng)攻防安全團(tuán)隊的談心、陳均衍、張源三位現(xiàn)場演示了對京東微聯(lián)平臺上使用Joylink或者Broadlink協(xié)議的設(shè)備的攻破。

演示現(xiàn)場模擬了一個真實的攻擊場景，某個家庭成員的手機(jī)上安裝了一個重打包的游戲軟件，這個軟件看上去和普通的游戲軟件無異，但其實其中包含了惡意的代碼，當(dāng)這個游戲運行時，惡意代碼會接受攻擊者服務(wù)器發(fā)出的指令，對同一個WIFI中的智能設(shè)備發(fā)起攻擊。

雷鋒網(wǎng)了解到，第一批受害者是使用Joylink協(xié)議的公牛智能插座和蘇泊爾智能壓力鍋。攻擊者通過外網(wǎng)服務(wù)器向惡意APP發(fā)送攻擊命令，APP會神不知鬼不覺的利用協(xié)議的漏洞對目標(biāo)設(shè)備進(jìn)行授權(quán)操作，竊取控制權(quán)限，隨后攻擊者分別對壓力鍋發(fā)出開機(jī)指令及對插座發(fā)出打開插座指令，從現(xiàn)場大屏幕可以看到壓力鍋啟動燈處于閃爍狀態(tài)，插座燈亮表示已經(jīng)啟動，攻擊者已經(jīng)可以于千里之外任意控制這兩臺設(shè)備。

儼然是一場重新認(rèn)主套路。

另外，針對使用BroadLink協(xié)議的設(shè)備如窗簾和古北插座，攻擊者也可以在進(jìn)入目標(biāo)設(shè)備局域網(wǎng)后，發(fā)起攻擊獲得窗簾和插座的控制。當(dāng)演示人員點擊服務(wù)器屏幕上的打開按鈕后，現(xiàn)場中央的窗簾果然緩緩開啟。

想象一下夜深人靜的漆黑夜晚，在黑客的遠(yuǎn)程操控之下，你家中的窗簾莫名其妙的緩緩打開，客廳燈詭異的閃爍，廚房里的電壓鍋、微波爐、榨汁機(jī)突然開始工作，你還敢獨自入睡嗎？

當(dāng)然，不僅是現(xiàn)場演示的這幾種設(shè)備，據(jù)雷鋒網(wǎng)了解，目前使用Joylink協(xié)議控制的設(shè)備超過133種，使用Broadlink協(xié)議控制的設(shè)備超過116種。涉及兩百多個型號，逾20家知名廠商的上萬臺設(shè)備已經(jīng)進(jìn)入千家萬戶，這也意味著數(shù)萬家庭的智能設(shè)備面臨被不法分子攻擊、控制的可能。

萬籟俱寂，你沉浸在脫單的美夢中，窗簾慢慢打開了……

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。