众所周知,谷歌招募了一批全球顶尖的软件工程师。但如果让他们太无聊的话,将会发生一些不可预料的事情。 据外媒报道,去年 7 月的时候,一位在桑尼韦尔办公室工作的谷歌工程师,决定将自己的技能用在一项特殊的测试上。 David Tomaschik 发现了一个软件漏洞,使之能够打开园区里的一闪门,这原本应该配合 RFID 钥匙卡才能生效。
在砍掉了一些代码之后,Tomaschik 将之发送到了公司的网络上,然后很快就见到办公室的门禁指示灯从红色变成了绿色。 福布斯报道称:
这是 Tomaschik 发现技术漏洞后的高潮时刻,门禁控制系统的创建者,需要对办公区的物理安全性负责。
去年夏天,当 Tomaschik 查看 iStar Ultra 和 IP-ACM 通过 Google 网络发送加密消息时,发现它们是非随机的。
要对加密信息施加适当的保护,那就必须始终保证它的随机性。
于是兴致盎然的 Tomaschik 决定深挖下去,最终得知所有 Software House 设备都使用了‘硬编码’的加密密钥。
这意味着他所需要的就是复制密钥并编写命令,例如要求解锁、或重放合法命令 —— 这才是最疯狂的部分。
Tomaschik 发现自己能够做到这一点,而不会留下任何有关其行为的数字记录。
反之,他也能够阻止谷歌员工打开原本应该准许其进入的大门。万幸的是,公司已经对其网络进行了细分,以防止出现严重的后果。
与此同时,Software House 加强了自家安全门禁系统的加密形式,提出了一个需要在客户站点更换硬件的解决方案。
Tomaschik 暗示,许多地方和企业可能也存在同样的侵入隐患。
不过拥有 Software House 的 Johnson Controls 向《福布斯》表示,他们已经帮客户解决了该问题,但没有提供额外的细节。
这件事的意义,在于提醒大家不要放松对“物联网僵尸网络”等攻击类型的警惕。
粤公网安备 44010602000162号
网友评论