Nest恒温器漏洞：可远程探知用户是否在家

　　北京时间6月25日上午消息，美国黑客组织GTVHacker本周曝光了Nest智能恒温器Nest Learning Thermostat的一个漏洞。通过该漏洞，黑客可以基于运动探测器信息、网络流量，或房间温度来了解用户是否正在家中，同时不必开启这一设备。

　　通过Nest智能恒温器，用户可以获得许多有趣的智能功能，例如彻底替换Nest的软件。然而，其中的漏洞也给黑客带来了可乘之机。

　　那么这一攻击需要如何实施？与攻击其他移动设备或互联家居设备的方法类似，黑客需要首先获得一台Nest智能恒温器。因此对大部分用户而言，不必担心黑客闯入家中，对自己的设备进行修改。GTVHacker提供了一段详细视频，而该团队将在今年8月的DEFCON大会上具体演示这种攻击方式。

　　对于这一消息，Nest回应称，该团队的软件“没有破坏我们服务器及其连接的安全性。就我们所知，目前没有任何设备遭到远程入侵”。

　　根据GTVHacker的说法，这种攻击利用了Nest智能恒温器加载软件的通道（这需要用到USB端口，因此黑客必须实际获得设备），从而运行其Boot-Loader，并在Root权限下添加一个SSH服务器。这看起来像是合法更新，但留下了一个后门，而设备所有者甚至完全不会意识到发生了任何改变。