智能恒温器的第一个勒索软件就在这里，很热！

到目前为止，我们已经听到了许多骇人听闻的入侵物联网设备的故事，但这种威胁有多现实？

试想一个场景，当你进入你的房子，天气很闷热，但当你去检查你的恒温器的温度时，你发现它已经锁定在99度。

你猜怎么着？

你的房间恒温器需要300美元的比特币才能重新控制。

恭喜你，你的恒温器被黑客攻击了！

这不仅仅是一个假设的情况；这正是英国安全公司Pen Test Partners的肯·蒙罗（Ken Munro）和安德鲁·蒂尔尼（Andrew Tierney）上周六在拉斯维加斯举行的DEFCON 24安全会议上所展示的。

两名白帽黑客最近展示了第一款感染智能恒温器的概念验证（PoC）勒索软件。

勒索软件是一种臭名昭著的恶意软件，它以锁定计算机文件，然后索要赎金（通常是比特币）以解锁文件而闻名。

但是，随着时间的推移，这种威胁已经转移到移动世界，感染了智能手机，甚至智能电视。

黑客们选择了美国的恒温器，该恒温器带有一个大的LCD显示屏，运行一个经过修改的Linux版本，并且有一个SD卡插槽，允许用户加载自定义设置或壁纸，他们说让黑客变得如此容易"。

两人发现恒温器并没有真正检查在其上运行和执行的文件，这使得他们能够将恶意软件加载到恒温器中，锁定屏幕并显示经典的赎金便条。

Tierney告诉Infosecurity杂志：“所以我们通过加载一个7MB的Javascript文件来放入一个巨大的可执行文件，但这不是普通的Javascript，所以你可以查询SQL数据库，这样它就可以执行Linux命令了”。

“它加热到99度，需要一个每30秒改变一次的PIN码来解锁。我们在其上安装了一个IRC僵尸网络，可执行文件拨号到通道中，并使用MAC地址作为标识符，您需要支付一个比特币来解锁”。

由于恒温器应用程序中的每个进程都以root权限运行，恶意黑客不需要任何特权升级漏洞来危害设备。

研究人员利用了特定恒温器系统中的漏洞，但他们拒绝公开披露，因为他们还没有机会向恒温器制造商提交错误报告并修复。

然而，两人计划在今天，即周一报告该漏洞。他们还表示，该补丁应该易于部署。

不过，缺点是，目前安装勒索软件需要黑客对恒温器进行物理访问，或者诱使受害者自己在设备上加载恶意文件。

由于物联网目前在你的家庭、企业、医院，甚至整个被称为智能城市的城市中被广泛使用，它为攻击者提供了大量的入口点，以某种方式或其他方式影响你。

但是，如果安全部署，它可以创造奇迹；甚至拯救你的生命。

特斯拉自动驾驶仪救了一条命

就拿特斯拉智能汽车最近的一个例子来说吧。

特斯拉X型车的车主、37岁的律师约书亚·尼利（Joshua Neally）称，这辆车的自动驾驶功能（自动驾驶模式）让他在医疗紧急情况下被送往医院。

然而，这种自动驾驶技术的缺点是，它可以被骗子入侵，我们不能忽视他们，因为我们在过去看到了一些智能汽车黑客事件。

此前的研究表明，黑客有能力远程劫持智能汽车，并控制其转向、刹车和变速器，甚至利用影响重要汽车的安全缺陷禁用汽车的关键功能，如安全气囊。

底线是：

精通网络可以让你享受互联设备的新世界，同时帮助你保持安全的在线状态。