平安夜可能不平安 小心黑客黑掉圣诞LED灯

　　12月24日，一年一度的平安夜，每当这一天，每家每户都会在家里放置一个挂满圣诞灯的圣诞树来烘托节日的气氛，但是你知道吗，圣诞树上五彩缤纷的圣诞灯也可能会被黑客控制而停止它的工作。

　　从Bleeping Computer网站发布的一篇关于Twinkly IoT灯的文章来看，使用Twinkly IoT灯的研究人员发现了其中的安全漏洞，原来Twinkly灯中的LED可以单独控制，也就是说圣诞树上的圣诞灯是可以控制的，它已经不是简单的一插上电就亮，拔了就不亮的普通LED灯了，用户可以通过移动应用程序来管理他们的圣诞灯，该移动应用程序通过本地网络发送未加密的通信，但因为是未加密的，所以存在安全隐患。

　　所以说远程篡改灯光并不困难，考虑到网络上的攻击者很容易拦截Twinkly灯和移动应用之间的通信，并使用它们将LED操作为自定义模式或将其关闭，研究人员转而采用DNS重绑定攻击技术，这种技术在信息安全行业已有十多年的历史，但是攻击者可以使用DNS重新绑定绕过Web浏览器中的同源策略(SOP)，依旧可以控制Twinkly灯。

　　也就是说，就目前的技术来看，如果黑客入侵了Twinkly灯的管理系统，那么他们就可以做出一些伤害的行为，比如说，你家的圣诞灯亮着亮着突然就不亮了，那有可能就是黑客干的，但是黑客在选择做这件事情的概率应该非常小，毕竟黑客不会无聊到去黑一个控制圣诞灯的系统，其它目标才是更有价值的吧。

　　所以不用担心你家的圣诞灯会不安全，如果真的不亮了，那一定是质量不行，当然也不排除某个无聊的黑客想在圣诞节找点乐趣，做一些恶作剧。