如果你使用了智能門鎖，并且使用的是August smart lock Pro + Connect的話，請(qǐng)注意，該門鎖中未打補(bǔ)丁的安全漏洞一意味著黑客可以完全訪問你的Wi-Fi網(wǎng)絡(luò)。

首先，August smart lock Pro + Connect門鎖允許用戶控制房屋的大門或其他地方，房主只需輕按即可解鎖/鎖定門，還能授予客人訪問權(quán)限，監(jiān)督其他人進(jìn)入或離開房屋。

由于缺乏必要的硬件，該設(shè)備無法直接連接到互聯(lián)網(wǎng)，因此，當(dāng)用戶在一定范圍內(nèi)時(shí)，可以通過藍(lán)牙低能耗(BLE)控制鎖定。而為了滿足遠(yuǎn)程管理的需求，August應(yīng)用程序形成了一個(gè)+ Connect Wi-Fi網(wǎng)橋，與互聯(lián)網(wǎng)建立連接，再由控制智能鎖的用戶來回傳遞命令。

然而，在這種情況下，設(shè)備之間的命令用傳輸層安全(TLS)加密，不能以任何方式修改或利用。除此之外，只有所有者在其帳戶中注冊(cè)了鎖，才能配置與無線網(wǎng)絡(luò)相連的August連接。而用戶通過兩步驗(yàn)證獲得對(duì)帳戶的訪問權(quán)限，因此所有者具有完全權(quán)限，可以授予訪客全部或有限訪問權(quán)限，接收即時(shí)通知并檢查狀態(tài)。

當(dāng)然，為了實(shí)現(xiàn)這些功能，August Smart Lock Pro + Connect會(huì)連接到用戶的Wi-Fi網(wǎng)絡(luò)。在沒有可用的鍵盤/輸入設(shè)備的情況下，August使用一種通用技術(shù)來確保連接。該設(shè)備進(jìn)入設(shè)置模式，作為接入點(diǎn)啟用與智能手機(jī)的鏈接。隨后，應(yīng)用程序會(huì)將Wi-Fi登錄憑據(jù)傳遞給智能鎖，但這個(gè)通信是開放的(未加密)，因此容易受到攻擊。值得注意的是，雖然設(shè)備的固件會(huì)加密登錄憑據(jù)，但使用的是ROT13，這是一種簡單的密碼，很容易被附近的黑客破解。

最后，不得不提一下漏洞從發(fā)現(xiàn)到披露的過程：

• 2019年12月9日：與受影響的供應(yīng)商進(jìn)行初步聯(lián)系，交換了PGP密鑰
• 2019年12月10日：供應(yīng)商提前收到報(bào)告的副本
• 2019年12月18日：信息再次發(fā)送給受影響的供應(yīng)商
• 2019年12月18日：漏洞已確認(rèn)
• 2019年12月18日：CVE-2019-17098
• 2020年5月11日：供應(yīng)商要求在2020年6月上旬安排公開信息
• 2020年1月16日：Bitdefender準(zhǔn)備更新
• 2020年7月2日：Bitdefender準(zhǔn)備另一次更新
• 2020年8月6日：Bitdefender沒有收到供應(yīng)商的回音，公開漏洞。

將近8個(gè)月后，這個(gè)漏洞依然存在。