進(jìn)步還是退步 智能家居聯(lián)網(wǎng)隱患重重
智能家居近年來發(fā)展形勢(shì)迅猛,越來越多的家用電器開始接入網(wǎng)絡(luò),以備人們更好的調(diào)控家中物品,享受智慧生活。不過,在這一過程中,總有些陰云浮在空中,讓人無法全然放心。想想那些常年在網(wǎng)上胡作非為的黑客們,他們會(huì)不會(huì)也來惡意控制這些設(shè)備,比如遠(yuǎn)程打開家門讓小偷進(jìn)入,調(diào)高空調(diào)溫度讓人熱醒,惡意沖馬桶浪費(fèi)水,打開攝像頭進(jìn)行偷拍等。當(dāng)然,黑客們能做的遠(yuǎn)不止這些。
智能家居聯(lián)網(wǎng)隱患重重
國(guó)外調(diào)查機(jī)構(gòu)Trustwave的安全調(diào)查員Bryan和Crowley在去年得知可以用智能手機(jī)遠(yuǎn)程控制的門鎖Lockitron將上市時(shí),就開始意識(shí)到智能家居設(shè)備存在的安全問題。雖然當(dāng)時(shí)Lockitron還沒有上市,但是市面上已經(jīng)有了不少可以通過網(wǎng)絡(luò)控制的家用電器,比如說燈泡、馬桶、溫度計(jì)等,他們經(jīng)過測(cè)試發(fā)現(xiàn)這些產(chǎn)品都存在嚴(yán)重的安全漏洞。
眾所周知,智能家居雖然還未普及,但和智能家居關(guān)系不淺的物聯(lián)網(wǎng)卻正以廉價(jià)、普及的姿態(tài)往普通消費(fèi)者家中走去,不少家電廠商生產(chǎn)的家電早就可以通過網(wǎng)絡(luò)進(jìn)行控制和管理,然而就是這個(gè)能給消費(fèi)者帶來便利的“物聯(lián)網(wǎng)”卻存在嚴(yán)重的問題。根據(jù)美國(guó)ABI調(diào)查公司的數(shù)據(jù),目前大約有100億臺(tái)可使用無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的設(shè)備,到2020年,這一數(shù)字將達(dá)到300億。從現(xiàn)在來看,雖然智能手機(jī)、平板電腦和筆記本電腦占了絕大部分,但是未來的市場(chǎng)增長(zhǎng)領(lǐng)域一定是家庭使用的配備有廉價(jià)傳感器的智能家居設(shè)備,也就是說,到2020年,大部分智能家居設(shè)備都將是物聯(lián)網(wǎng)設(shè)備。
小到門鎖、插座,大到電表、馬桶、空調(diào),都可以通過網(wǎng)絡(luò)進(jìn)行控制,而在黑客眼中,這些都是可以入侵的“好東西”。電腦發(fā)展了幾十年,殺毒軟件、防火墻等保護(hù)措施都已經(jīng)發(fā)展的非常完善,然而Crowley和Bryan兩人指出,智能家居設(shè)備幾乎沒有采取任何保護(hù)措施。他們兩人建議智能家居設(shè)備生產(chǎn)商要多花些時(shí)間提高設(shè)備的安全性,而不是急著推出產(chǎn)品。
Crowley說:“每個(gè)產(chǎn)品的安全等級(jí)不同,但是都存在一個(gè)問題,那就是使用設(shè)備不需要任何認(rèn)證過程?!崩?,Crowley和Bryan測(cè)試了智能家居中心控制設(shè)備Veralight,在默認(rèn)設(shè)置下,任何人不需要任何用戶名和密碼就可以進(jìn)入Veralight的控制系統(tǒng)中進(jìn)行操控,即便開啟了安全措施,依舊可以采取多種方式繞過安全認(rèn)證對(duì)家用設(shè)備進(jìn)行控制。最近,Crowley和Bryan發(fā)現(xiàn)隨便用一臺(tái)Android智能手機(jī)就可以控制入侵Satis智能馬桶,讓其不斷沖水,不斷大聲播放音樂。在今年的黑帽安全會(huì)議,他們兩人已經(jīng)將智能家居設(shè)備的這些安全漏洞全部曝光。
Crowley和Bryan兩人在發(fā)現(xiàn)了設(shè)備的漏洞之后便聯(lián)系生產(chǎn)廠家,但是沒有任何一個(gè)廠家愿意直接承認(rèn)自己的錯(cuò)誤。在Veralight的答復(fù)信件中,Veralight認(rèn)為“我們的設(shè)備與目前市面上的家庭自動(dòng)化產(chǎn)品安全系數(shù)相同或者更高”。日本智能馬桶Lixel廠商則反駁說兩人發(fā)現(xiàn)的是特殊情況,智能馬桶必須與手機(jī)配對(duì)后才能使用。
然而在互聯(lián)網(wǎng)安全專家眼中,物聯(lián)網(wǎng)設(shè)備或家用智能設(shè)備的安全漏洞可能帶來的風(fēng)險(xiǎn)要比廠商的官方回復(fù)更嚴(yán)重。如果黑客們發(fā)現(xiàn)了遠(yuǎn)程門鎖上的一個(gè)漏洞,他們就可以在同時(shí)入侵所有的此類門鎖。如果同一個(gè)樓宇使用的是一個(gè)系統(tǒng)的產(chǎn)品,一旦入侵,整棟樓就像超市一樣,小偷想來就來想走就走;而同一個(gè)樓盤一般使用的都是同一款產(chǎn)品,那么整個(gè)小區(qū)可能就成了菜市場(chǎng),小偷們?nèi)缛霟o人之地。
美國(guó)華盛頓大學(xué)計(jì)算機(jī)安全與隱私專業(yè)副教授YoshiKohno表示,“很難準(zhǔn)確地描述物聯(lián)網(wǎng)的漏洞能帶來多么嚴(yán)重的問題?!彼舶l(fā)現(xiàn)了像汽車、醫(yī)療設(shè)備、玩具等聯(lián)網(wǎng)設(shè)備的安全漏洞,比如黑客可以入侵一個(gè)帶攝像頭的兒童玩具并開啟攝像頭進(jìn)行偷拍?!皠e等到出了事再后悔?!?/P>
美國(guó)佛吉尼亞大學(xué)研究智能住宅的副教授KaminWhitehouse則認(rèn)為,即便給智能設(shè)備增加了安全措施,黑客依舊有“利”可圖。在他的研究中,他發(fā)現(xiàn)即便家用智能設(shè)備的數(shù)據(jù)傳輸已經(jīng)加密過,黑客依舊可以根據(jù)分析網(wǎng)絡(luò)流量來猜測(cè)消費(fèi)者的日常生活行為,了解消費(fèi)者的習(xí)性。“一旦家中的設(shè)備都開始接入網(wǎng)絡(luò),黑客沒有理由不來。”
不過在Crowley和Bryan眼中,智能家居的安全問題會(huì)得到積極改善。Lockitron門鎖的新版已經(jīng)開始提供更多的安全細(xì)節(jié),比如說檢測(cè)到非主人使用時(shí)會(huì)發(fā)送電子郵件進(jìn)行問詢。生產(chǎn)Lockitron門鎖的Apigy公司說對(duì)于Crowley提出的安全問題非常重視。Crowley最后說:“要破解Lockitron是一項(xiàng)大工程,雖然依舊可以被破解,但是起碼提高了安全等級(jí)?!?/P>