如果您使用智能门锁并使用August智能锁Pro+Connect,请注意该锁中未修补的安全漏洞意味着黑客可以完全访问您的Wi-Fi网络。首先,八月智能锁Pro+Connect门锁可以让用户控制大门或家中其他地方。房主只需轻轻一按即可开锁/锁门,还可以授予客人访问权限并监督其他人进出房屋。由于该设备缺少直接连接到互联网的必要硬件,因此当用户在范围内时,可以通过低功耗蓝牙(BLE)控制锁。并且为了满足远程管理的需求,Augustapp形成一个+ConnectWi-Fi桥,与互联网建立连接,然后控制智能锁的用户来回传递指令。然而,在这种情况下,设备之间的命令使用传输层安全性(TLS)加密,不能以任何方式修改或利用。除此之外,只有当所有者在他们的帐户中注册了锁时,才能配置与无线网络的八月连接。鉴于用户通过两步验证获得对帐户的访问权限,因此所有者拥有完全权限,可以授予客人完全或有限的访问权限、接收即时通知和检查状态。当然,为了实现这些功能,AugustSmartLockPro+Connect会连接用户的Wi-Fi网络。在没有可用的键盘/输入设备的情况下,August使用一种通用技术来保护连接。设备进入设置模式以启用与作为接入点的智能手机的链接。然后,该应用程序将Wi-Fi登录凭据传递给智能锁,但此通信是开放的(未加密的),因此容易受到攻击。值得注意的是,虽然该设备的固件会加密登录凭据,但它使用的是ROT13,这是一种很容易被附近的黑客破解的简单密码。最后,不得不提一下漏洞从发现到披露的过程:2019年12月9日:与受影响的供应商初步接触,交换PGP密钥2019年12月10日:供应商提前收到报告副本2019年12月18日:信息重发给受影响的供应商2019年12月18日:确认漏洞2019年12月18日:CVE-2019-170982020年5月11日:供应商在计划于2020年6月上旬发布的公开信息中请求2020年1月16日:Bitdefender准备更新2020年7月2日:Bitdefender准备2020年8月6日的另一次更新:Bitdefender尚未收到供应商的回复以披露该漏洞。将近8个月后,该错误仍然存??在。
