可視門鈴竟然可以洩露WiFi密碼

近日pen test partners公司發現門鈴竟然可以洩露wifi密碼。

容易遭到惡意攻擊者利用

通常人們安裝這款可視的門鈴，該門鈴基於「物聯網」環境下，可以通過網際網路在智慧型手機等裝置上檢視屋外的狀況，同時也可以讓主人為來訪者開啟戶外的大門。當有快件送到時你也可以通過這款可視門鈴來進行溝通。

這就意味著該系統內有乙個自定**鎖系統。然而專注拆解物聯網裝置的pen test partners公司卻發現，它們竟有乙個洩露主人家wi-fi密碼的「漏洞」。pen test partners研究人員解釋道：

「這個門鈴安裝在房子外面，只需擰下兩顆螺絲就可以從牆上拆下，就能碰到背後的橙色按鈕，利用它可以讓門鈴的無線元件切換到ap(接入點)模式。」

可視門鈴如何受到攻擊

如果你想要使用這個可視門鈴，必須要將它連線到無線路由器上面，而可視門鈴想要連線上無線路由器則必須要有無線路由器的無線密碼。可視門鈴內除了必要的電路以及電子元器件之外，還有一塊鋰電池、乙個usb充電埠以及乙個設定按鈕。

可視門鈴可以固定在戶外，用兩個t4螺絲就可以固定。

取下可視門鈴翻轉過來就可以看見按鈕了。

該無線模組由gainspan製造，並且包含了乙個web伺服器模組，之後攻擊者可借助手機(以及某個特殊的url鏈結)連線至該伺服器，使用瀏覽器訪問時，通過該url鏈結可以獲取無線模組的配置檔案許可權，而無線模組的配置檔案中，甚至包含了wi-fi網路的ssd和psk密碼。

到了這一步，攻擊者就可以安心地將門鈴安裝回去，然後消失。相信主人們很信任自家的無線網路，並且會連線上各種各樣的裝置。

而在獲得了網路的訪問許可權之後，惡意攻擊者就能夠肆無忌憚地滲透了，並攻擊已經聯網的裝置。

目前在pen test partners告知之後，廠家已經在兩周內發布了韌體更新。在此之前，pen test partners的研究人員們還曾搞定過智慧型冰箱、燒水壺、gopro相機、智慧型電視、甚至bb-8星戰玩具。