智能家居物聯(lián)網(wǎng)的陰險(xiǎn)惡意廣告

直到本周，我還沒(méi)有聽(tīng)說(shuō)過(guò)惡意廣告或惡意廣告，更沒(méi)有聽(tīng)說(shuō)過(guò)它可能會(huì)攻擊智能家居網(wǎng)絡(luò)中的物聯(lián)網(wǎng) (IoT) 設(shè)備。由于我確實(shí)寫(xiě)過(guò)有關(guān)物聯(lián)網(wǎng)、網(wǎng)絡(luò)安全和智能家居的文章，一份報(bào)告表明來(lái)自東歐的犯罪團(tuán)伙使用惡意廣告攻擊了家中的物聯(lián)網(wǎng)設(shè)備，這讓我更深入地挖掘。

我想了解我的智能電表上的顯示器如何成為攻擊的受害者。我對(duì)惡意廣告的有限了解讓我認(rèn)為只有點(diǎn)擊網(wǎng)站上的廣告才會(huì)出現(xiàn)問(wèn)題。但事實(shí)證明，甚至不需要點(diǎn)擊，因此它很容易影響智能電表或家中其他連接設(shè)備，如安全攝像頭、鎖和娛樂(lè)設(shè)備。

惡意廣告通過(guò)在線廣告網(wǎng)絡(luò)將惡意代碼注入在線展示廣告中來(lái)傳播惡意軟件，從而使用戶網(wǎng)絡(luò)和連接的設(shè)備面臨潛在的感染風(fēng)險(xiǎn)。廣告網(wǎng)絡(luò)通常不知道他們?cè)谔峁阂鈨?nèi)容，在移動(dòng)廣告網(wǎng)絡(luò)安全公司 GeoEdge 揭露的攻擊中，被攻擊的用戶甚至不需要點(diǎn)擊受感染的廣告或?qū)Ш降綈阂忭?yè)面來(lái)啟動(dòng)攻擊家庭網(wǎng)絡(luò)設(shè)備。

GeoEdge 表示，它發(fā)現(xiàn)了一場(chǎng)全球范圍的惡意廣告攻擊，這是第一個(gè)專門(mén)針對(duì)基于家庭網(wǎng)絡(luò)的物聯(lián)網(wǎng)設(shè)備的基于廣告的網(wǎng)絡(luò)犯罪。其安全研究團(tuán)隊(duì)自 2021 年 6 月中旬以來(lái)一直在調(diào)查針對(duì)智能家居物聯(lián)網(wǎng)設(shè)備的惡意廣告攻擊，確定了攻擊媒介及其來(lái)自斯洛文尼亞和烏克蘭的不良行為者的起源。

它補(bǔ)充說(shuō)，廣泛分布的攻擊向量是第一個(gè)使用在線廣告在家庭 Wi-Fi 連接的物聯(lián)網(wǎng)設(shè)備上靜默安裝應(yīng)用程序的攻擊媒介，并且只要求黑客具備對(duì)設(shè)備 API 文檔的基本了解、一些 JavaScript 知識(shí)和基本的在線廣告技能. 鑒于 IoT Analytics 等市場(chǎng)研究公司預(yù)測(cè)，到 2025 年，全球?qū)⒂谐^(guò) 300 億個(gè) IoT 設(shè)備連接，這使得家庭和工業(yè) IoT 成為惡意廣告攻擊的極具吸引力和脆弱的機(jī)會(huì)。

GeoEdge 研究中揭示的廣泛物聯(lián)網(wǎng)攻擊的影響包括操縱物聯(lián)網(wǎng)設(shè)備的能力、未經(jīng)用戶同意下載應(yīng)用程序、個(gè)人信息和貨幣工具被盜以及篡改智能鎖和監(jiān)控?cái)z像頭等家庭系統(tǒng)的風(fēng)險(xiǎn)。為了阻止此類攻擊，GeoEdge 指出，防病毒應(yīng)用程序甚至防火墻都不夠，因此有必要不斷實(shí)時(shí)阻止受感染的廣告，以防止它們被呈現(xiàn)并呈現(xiàn)給用戶（我認(rèn)為這是出售其軟件的情況） ）。

我向 GeoEdge 提出了關(guān)于攻擊規(guī)模的問(wèn)題。該公司的首席執(zhí)行官 Amnon Siev 表示：“目前，我們無(wú)法披露顯示攻擊的設(shè)備的量化數(shù)據(jù)、圖表或示例，因?yàn)檫@仍然是我們與設(shè)備公司合作進(jìn)行的一項(xiàng)持續(xù)努力。在這一點(diǎn)上，我們可以分享的是您的物聯(lián)網(wǎng)設(shè)備暴露在惡意廣告中。它們可以與您不需要的應(yīng)用程序一起安裝，惡意廣告者可以從遠(yuǎn)處訪問(wèn)它們。這都是惡意廣告在用戶安全的家庭網(wǎng)絡(luò)上展示給用戶的結(jié)果?！?/p>

他只能說(shuō)攻擊的源頭是一個(gè)東歐犯罪團(tuán)伙，他們正在使用程序化廣告作為攻擊的分發(fā)渠道，因?yàn)樗阋饲乙子诓渴稹Ｔ摴九c adtech（廣告技術(shù)）公司 InMobi 和 Verve Group 合作開(kāi)展這項(xiàng)研究。Siev 評(píng)論說(shuō)：“通過(guò) InMobi 和 Verve 的合作，我們揭露了這些攻擊的起源、基礎(chǔ)設(shè)施和全球規(guī)模。這項(xiàng)聯(lián)合任務(wù)建立在信任和對(duì)威脅形勢(shì)的深刻理解之上，這使我們能夠?yàn)橛脩舯Ｗo(hù)創(chuàng)建新標(biāo)準(zhǔn)?！?/p>

因此，這個(gè)故事的寓意是，即使您認(rèn)為自己了解物聯(lián)網(wǎng)安全并已采取適當(dāng)措施來(lái)保護(hù)您的聯(lián)網(wǎng)家庭設(shè)備（例如確保強(qiáng)密碼），但這可能還不夠。攻擊者可能有很多其他的方式，我們可能不一定會(huì)想到這些方式可以讓攻擊者侵入您的智能家居網(wǎng)絡(luò)。惡意廣告只是其中之一。

審核編輯 黃昊宇