智能家居已經進入了我們生活的方方面面，但智能設備在帶來便利的同時也帶來了安全風險。之前我們已經討論過很多針對物聯網設備的攻擊事件，近日我們又發現了一個針對智能家居設備的攻擊方式。

[[129002]]

入侵Nest溫控器產品

TrapX Security的研究者演示了如何入侵聯網狀態下的Nest(谷歌收購的智能家居公司)溫度調節器，同時還演示了通過入侵溫度調節器進一步入侵同一網絡下的其他設備。

這一攻擊并不簡單，因為攻擊鏈條開始于物理訪問該設備。TrapX Security的研究是基于佛羅里達中央大學研究員的研究而展開的，他們認為通過設備的USB端口入侵Linux操作系統便可掌控溫度調節器。研究員把他們自定義的惡意軟件加載到溫度調節器上，阻止用戶的溫度調節器數據發送回Nest服務器。從這一方面來看，專家們認為問題存在于溫度調節器硬件本身，很難修復。

同樣的方法，TrapX Security的研究員在Nest的RAM7處理器芯片上加載了他們的惡意軟件。之后他們便可查看到很多溫度調節器上的數據，包括本地網絡的無線密碼和同一網絡下其他用戶的有關數據。

研究人員發現，存儲在Nest本地的數據沒有加密，但是在通過云傳輸發送數據到服務器時卻使用了加密。在測試中，研究者可通過利用設備上存在的已知漏洞獲得設備的管理員權限，然后還可入侵同一網絡下的其他設備。