让我们省点钱:入侵智能电表

连接到汽车,零售系统,电视机和人们在日常生活中使用的无数其他的东西中的智能设备正在以指数形式增长,但是安全和隐私仍是一个关键的问题,比如应用程序,它们仍然面临许多的挑战。

根据两个安全研究人员的研究,由于缺少基础的和必要的安全控制,西班牙数以百万的网络连接电表或智能电表很容易受到网络攻击,这将使数百万的的家庭受到威胁。

黑帽造成的停电和电费欺诈

在电表中发现的安全漏洞,能够使入侵者进行计费欺骗,甚至能关闭主电源,造成停电。

这些设备内部保护不善的证书使得攻击者可以使用小工具控制它们。现在部署的测量工具正在改善设备的安全来保护其网络。

在周一的采访中,安全专家Javier Vazquez Vidal和Alberto Garcia Illera说,该漏洞影响了西班牙公用事业公司——西班牙政府依赖它改善其国家能源利用效率。

这两个研究人员进行的这项研究将很快被提交到下周在阿姆斯特丹的Black Hat Europe黑客大会上去。这两个人将解释他们如何逆向工程了智能电表,并且发现了能让他们关闭电源或通过电力通讯系统进行欺骗的漏洞。

智能电表可重新编程的内存运行有缺陷的代码

存在于智能电表的漏洞是在其内存中的,它是可编程的,并且那些包含缺陷的代码可以用来远程关闭输送到各个家庭的电源,篡改电表读数,把电表读书传送给其他用户,甚至将“网络蠕虫”嵌入其中可以使数以万计的家庭停电,造成大面积的停电。

在问题被智能电表供应商修复之前,研究人员无法提供任何有关的细节。“我们不会透露具体的细节,我们也不会说我们如何做到的,”参与智能电表研究的一个安全专家Garcia Illera说到,“但是这个问题必须解决。”

使用弱加密

据这两个研究人员所说,智能电表使用了比较容易破解的对称AES-128加密,其目的是保护通信安全,并且防止计费系统不被不法分子篡改(显然失败了)。

西班牙三家主要的电力公司——Endesa, Iberdrola和 E.ON的800万智能电表已经安装了30%。但是这个时候还没有公开两个特定仪表制造商。

这两个研究人员,他们完全可以控制智能电表,转换其ID来冒充其他的用户,或者使电表自己变成攻击电网的工具。

“喔,什么?我们可以做到这事?这让我们感到很恐慌,”另一个参加智能电表研究的安全专家Vazquez Vidal说到,“我们开始思考其影响。如果有人想攻击整个国家将会怎么办?”

物联网承诺让我们的生活更轻松愉快,但是任何技术发展的同时,也要注意其安全问题和挑战,这是发生在西班牙的智能电表事件。

【via@90sec