隨著物聯(lián)網(wǎng)設(shè)備的廣泛使用，被黑客攻擊的范圍也在不斷擴大，我們周邊的智能設(shè)備是網(wǎng)絡犯罪者們首要選擇的攻擊目標。那么咖啡機又怎能例外呢？聯(lián)網(wǎng)的咖啡機會成為黑客入侵網(wǎng)絡的入口，甚至可能會訪問你的隱私信息。

手機上一個小小的app就可以控制咖啡機，遠程在手機app上輕點幾下就可喝到一杯熱氣騰騰的咖啡。然而app上存在一個漏洞，當應用程序和咖啡機交換信息時就給攻擊者打開了一扇攻擊大門。攻擊者會利用這個漏洞竊取用戶WiFi密碼和嗅探無線網(wǎng)絡中傳輸?shù)臄?shù)據(jù)。

卡巴斯基實驗室的安全專家警告使用聯(lián)網(wǎng)咖啡機時可能會存在安全隱患，同時還發(fā)現(xiàn)其他幾個聯(lián)網(wǎng)設(shè)備也會給用戶帶來安全隱患。它們分別是：

1.視頻流媒體的USB電子狗（GoogleChromecast）
2.智能手機控制的IP照相機
3.智能手機控制的咖啡機
4.智能手機控制的家庭安全系統(tǒng)

漏洞雖不少，但很難被利用

安全專家發(fā)現(xiàn)了數(shù)個不同危險程度的安全漏洞，說實話有些漏洞很難利用，因為滿足入侵的客觀條件很難實現(xiàn)。

當聯(lián)網(wǎng)咖啡機打開時，它就自動打開了一個未加密的熱點，可竊聽UPNP流量。在客戶端，智能手機上安裝的app是由咖啡機廠商提供的，它會連接到一個熱點并發(fā)送UDP請求廣播，以搜索UPNP設(shè)備�？Х葯C會與app建立一個通信，以交換諸如SSID、無線密碼等數(shù)據(jù)，然而不幸的是，這些交換的數(shù)據(jù)全是明文的。

為了入侵咖啡機，攻擊者需要知道用戶安裝app的具體時間，以及物理接觸物聯(lián)網(wǎng)設(shè)備的具體時間，從而截取用戶的密碼。事實上，這種攻擊場景并不易實現(xiàn)。

廠商的反應

卡巴斯基實驗室已經(jīng)將這一問題報告給了咖啡機廠商，對方給出的回應是：

用戶體驗和安全對我們來說都非常重要，我們也一直在這兩者之間尋找平衡點。你們所提到的漏洞是在安裝過程中發(fā)生的，屬于低危。如果要獲得訪問權(quán)限，攻擊者需要在目標家庭網(wǎng)絡的附近，并且時間還必須保證在應用安裝的過程中，也就是說攻擊只能在短短的幾分鐘和一定的距離內(nèi)才能完成。我們不相信這個漏洞會對用戶體驗帶來很大的影響。盡管我們還沒有明確改變安裝進程的計劃，但如果安全風險變得非常嚴峻的情況下我們會毫不猶豫的做出改變。未來有什么改變我們會及時通知。