入侵者不再需要从厨房窗户进来。相反，他们可以从前门跳华尔兹舞进来，即使家里有联网的报警系统保护。网络安全公司Rapid7的研究人员今天在博客中写道，康卡斯特Xfinity家庭安全系统中存在一个漏洞，攻击者可以在不触发警报的情况下打开受保护的门窗。

安全漏洞与系统传感器与家庭基站通信的方式有关。康卡斯特的系统使用了流行的ZigBee协议，但没有保持适当的制衡，允许给定的传感器在几分钟甚至几小时内不进行登记。利用该漏洞的最大障碍是发现或**无线电干扰机，根据联邦法律，这是非法的。攻击者还可以通过对ZigBee协议本身进行基于软件的反身份验证攻击来规避警报，尽管这种方法需要更多的专业知识。攻击者在试图闯入之前还需要知道一所房子正在使用Xfinity系统，这是利用这一发现的一个主要障碍。

传感器没有关于闯入事件的记忆

为了证明他的发现，Rapid7的研究员PhilBosco模拟了一个无线电干扰攻击他的系统的一个武装窗口传感器。在干扰传感器信号的同时，他打开了一个监控窗口。传感器说它有武器，但没有发现任何异常情况。但可能比主动入侵本身更令人担忧的是，传感器对发生的情况没有记忆，花了几分钟到三个小时才恢复在线并与基地重新建立通信。

该攻击消除了无线设备中的一个基本漏洞。任何依赖无线通信的东西都可以通过干扰攻击离线。但Rapid7对Xfinity系统在遭受此类攻击后反应如此糟糕感到惊讶。

Rapid7的安全研究经理托德·比尔兹利（Tod Beardsley）告诉《边缘报》：“为（物理）安全设计的东西应该能预见到一个活跃的攻击者，因为这才是关键所在。”他们不这样做的事实令人担忧。”

这个漏洞并不完全出乎意料。安全研究人员一直在警告联网设备的安全问题，因为将一个正常工作的设备推向市场往往先于安全考虑。比尔兹利说，除了提供令人满意的技术体验，开发者还需要建立网络安全程序。

安全研究人员一直警告连接设备的安全隐患

“设备应该像我们预期的笔记本电脑和个人电脑那样识别这些故障状况，”比尔兹利说像安全系统这样的系统应该能够预料到类似这样的轻微复杂攻击。”

康卡斯特在一篇评论中说，该公司的系统采用了“与美国顶级家庭安全提供商相同的先进、行业标准技术”，而这一问题正是由“所有使用无线连接门、窗、门的家庭安全系统，该公司表示，正在“审查这项研究，并将积极与其他行业合作伙伴和主要供应商合作，以确定可能有利于我们的客户和行业的解决方案。”，CERT今天发布了一个漏洞通知，并表示还不知道有什么切实可行的解决方案。

1/5，12:10 PM ET:更新以包括CERT的漏洞通知详细信息，并反映CERT是卡内基梅隆大学的一部分，而不是US-CERT。

美国东部时间下午1点5分，1点36分：更新内容包括康卡斯特的评论。