rt_russian в Хакерам удалось «взломать» лампочкуСотрудники компании Context Information Security, занимающейся вопросами информационной безопасности, выяснили, что даже «умные» светодиодные лампочки, управляющиеся смартфоном владельцев, могут быть взломаны хакерами.
Читать далее
Читать далее
Да неужто? :)
Подобный "взлом" описывался не так давно на хабре. Кратко: есть некий "домашний" сервер, к которому и обращается приложение на смартфоне. Приложение отправляет запросы вида http://адрес.сервера/?lampa=1&yarkost=5, то есть, лампе 1 включить яркость 5.
Как ломается?
Когда хозяин находится дома, заставляешь его посмотреть страницу, в которой вставлены картинки с адресами типа
http://адрес.сервера/?lampa=1&yarkost=0
http://адрес.сервера/?lampa=2&yarkost=0
http://адрес.сервера/?lampa=3&yarkost=0
и т.д. Например, посылаем ему ссылку на эту страницу на почту или как-нибудь ещё.
Таким образом, мы последовательно гасим весь свет в доме.
Как защититься?
Надо вместе с параметрами, если уж хотите простой API, передавать хэш - шифрованную строку, в которой особым паролем (известным серверу и программе смартфона, по особому алгоритму меняется каждый день, час, минуту и т.п.), заданным заранее, зашифрованы те же параметры (гуглить "Необратимое хэширование"). Сервер тем же паролем шифрует переданные параметры и сравнивает с переданным хэшем. Есть совпадение - команда выполняется. Нет - ставится пометочка о попытке взлома, о чём позднее (или тут же) сообщается хозяину.
Вроде просто, да? Тогда почему этот простой механизм до сих пор не реализован?
