智能家居真的安全嗎?背后或許有人偷偷“監(jiān)視”你
2018-03-16 09:59:22 來源:中關(guān)村在線 熱度:
說起比爾·蓋茨的豪宅——“世外桃源2.0”,想必大家都不會(huì)陌生:訪客會(huì)獲得一個(gè)內(nèi)置芯片的胸針以記錄個(gè)人喜好,例如室內(nèi)溫度、照明亮度、空氣濕度、背景音樂等,這些元素會(huì)通過傳感器與胸針內(nèi)進(jìn)行無線交互,而且彼此之間能夠做到相互感應(yīng)。如果訪客沒有經(jīng)過認(rèn)證,那么系統(tǒng)也會(huì)識(shí)別出來自動(dòng)報(bào)警。物聯(lián)網(wǎng)之所以被認(rèn)為是智能化的基礎(chǔ),并非局限于人去控制設(shè)備,而是要讓物與物發(fā)生“化學(xué)反應(yīng)”。
別把智能當(dāng)萬能 背后“他們”正在監(jiān)視你(圖片來自shutterstock)
這樣看來,蓋茨的家應(yīng)該算是智能家居的終極形態(tài)。回顧智能家居的發(fā)展,其實(shí)早在八十年代就出現(xiàn)了,通過中央控制設(shè)備將家里的電器連接起來,實(shí)現(xiàn)單向控制,但這種操作最多也只能算是自動(dòng)化,而不是智能。物聯(lián)網(wǎng)的背后是硬件、軟件、云計(jì)算,而產(chǎn)品智能化的核心除了要讓每個(gè)電器變得聰明,還要讓它們能夠彼此感知,也就是讓“冰箱聽懂空調(diào)說的話”。
數(shù)據(jù)顯示,到2020年物聯(lián)網(wǎng)帶來的經(jīng)濟(jì)附加值將達(dá)到1.9萬億美元。根據(jù)Metcalfe‘s Law,網(wǎng)絡(luò)價(jià)值和用戶數(shù)的平方是成正比的,當(dāng)越來越多的人和智能的物連接在一個(gè)網(wǎng)絡(luò)上,會(huì)讓整個(gè)網(wǎng)絡(luò)增值。調(diào)研機(jī)構(gòu)預(yù)計(jì),未來79%的IoT流量將通過網(wǎng)關(guān)接入,50%的網(wǎng)絡(luò)流量將來自物聯(lián)網(wǎng),而物聯(lián)網(wǎng)將貢獻(xiàn)超過500億的連接。NB-IoT大幅降低了連接的功耗和成本,即使是最簡(jiǎn)單的事物也能提供有價(jià)值的物聯(lián)網(wǎng)服務(wù),對(duì)物聯(lián)網(wǎng)行業(yè)的發(fā)展是有指數(shù)級(jí)推動(dòng)作用的。
可以說,物聯(lián)網(wǎng)帶來的價(jià)值不止是管道商的紅利,對(duì)廣告商也有潛在的刺激作用,設(shè)備商也能借此大做文章。然而,另一份報(bào)告卻讓大家憂心忡忡:物聯(lián)網(wǎng)漏洞可能會(huì)導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施被破壞、競(jìng)爭(zhēng)情報(bào)與知識(shí)產(chǎn)權(quán)遭竊,甚至DDoS攻擊增加后也會(huì)癱瘓Dyn DNS系統(tǒng),導(dǎo)致重要網(wǎng)域癱瘓。這并非危言聳聽,早在四年前,惠普的安全部門就在市面熱銷的10款消費(fèi)級(jí)智能家居產(chǎn)品中,發(fā)現(xiàn)了250種安全漏洞,涉及品類眾多:電視、電源插座、網(wǎng)絡(luò)攝像頭、門鎖、警報(bào)器、無所不包。顯然,很多制造商急著把產(chǎn)品推向市場(chǎng),并沒有做好防護(hù)工作。
想象一下,你在電子賣場(chǎng)購買了智能插座,回家把空調(diào)、冰箱、洗衣機(jī)都接上了,不一會(huì)兒空調(diào)自己開了。后來當(dāng)你把電腦插上去之后,智能插座也連接了網(wǎng)絡(luò),路由器的IP地址隨即被修改。再之后,你的攝像頭、電視…都開始不由自主地工作,這一切并非科幻事件,而是由背后的黑客在控制。更可怕的是,你的個(gè)人信息也會(huì)隨之曝光。
記得在兩年前,某家電品牌的智能冰箱系統(tǒng)被白帽子黑客現(xiàn)場(chǎng)攻破,后者成功入侵后實(shí)現(xiàn)了對(duì)所有家電和家居的控制:家中門窗被打開、電器被任意操控、插座自動(dòng)斷掉、智能家居完全不聽使喚。令人不安的是,破解的手段并不復(fù)雜,只需要利用智能網(wǎng)關(guān)的漏洞繞過監(jiān)管,直接控制手機(jī)APP,就能在無需配對(duì)校驗(yàn)的情況下接管所有設(shè)備。
聽說過黑入網(wǎng)絡(luò)攝像頭監(jiān)視別人的,還沒見過控制吸塵器當(dāng)監(jiān)視器的,這不就來了。去年,一群閑來無事的白帽子們通過解析某知名品牌的掃地機(jī)器人的UART(通用異步收發(fā)傳輸器),發(fā)現(xiàn)了其中的邏輯連接關(guān)系,并可利用其訪問文件系統(tǒng)。當(dāng)主進(jìn)程被控制時(shí),該設(shè)備與應(yīng)用程序之間的通訊代碼即被攻破。只要繞過反root和SSL pining機(jī)制,黑客就能攔截應(yīng)用流量,再借助假冒的LG賬戶進(jìn)行登錄。這種情況屢見不鮮,如果趕上大廠商可以及時(shí)軟件升級(jí)還好說,要是半年不更新一次的恐怕就慘了。
其實(shí)不止是APP端的漏洞,集線器總是被集成在傳感器中用于控制連接設(shè)備。而這種部件的固件可以在網(wǎng)上下載到對(duì)應(yīng)的版本,并且支持對(duì)文件內(nèi)容的修改。有專家曾經(jīng)測(cè)試過,集線器的固件系統(tǒng)采用的DES加密算法很容易被破解,而且通過物理訪問的方式會(huì)發(fā)現(xiàn)含有序列號(hào)的核心命令行是通過HTTP發(fā)送的,并沒有得到嚴(yán)密保障。以config.jar文件為例,其中可能會(huì)包括聯(lián)網(wǎng)設(shè)備的登錄名和密碼,這就足以發(fā)起Web端的攻擊了。
物聯(lián)網(wǎng)的風(fēng)口誰都想抓住,而智能家居的藍(lán)海也讓一眾配件廠商看到了希望。隨著資本市場(chǎng)的瘋狂涌入,大家一窩蜂似的搞起了智能設(shè)備,但是智能并不等于萬能。尤其是在萬物互聯(lián)、智能遍地的今天,黑客并不需要很高的技術(shù)門檻。一款名為“Mirai”的惡意軟件在短時(shí)間內(nèi)不僅感染了全球數(shù)十萬臺(tái)IoT設(shè)備,還讓亞馬遜、Spotify、Twitter等公司瞬間掛掉。
隨著物聯(lián)網(wǎng)承載的個(gè)人信息逐漸增多,在人們生活中扮演的角色也越來越重要,如何妥善管理這些智能聯(lián)網(wǎng)設(shè)備就變得非常關(guān)鍵。除了大品牌的智能產(chǎn)品之外,一些小廠商的設(shè)備仍停留在“噱頭”階段,只是增加了簡(jiǎn)單的網(wǎng)絡(luò)控制功能,往好了說是性價(jià)比不高,往壞了說稍微懂點(diǎn)技術(shù)就被將其破解,對(duì)消費(fèi)者是不負(fù)責(zé)任的。
這些不成熟的產(chǎn)品沒有經(jīng)過多層驗(yàn)證,急于上市使得接口防御尚未完善,導(dǎo)致后期打補(bǔ)丁時(shí)的難度變高。此外,由于物聯(lián)網(wǎng)牽扯的技術(shù)既有邊緣計(jì)算、網(wǎng)絡(luò)通訊,也有信息處理和交互,使得運(yùn)行過程出錯(cuò)的幾率也會(huì)增大。對(duì)于初創(chuàng)企業(yè)來說,往往會(huì)迫于資本壓力將產(chǎn)品快速推向市場(chǎng),而不會(huì)投入大力氣去做安全方案。
綜上,如果要讓智能家居用著放心,首先要在前端強(qiáng)化硬件防護(hù)手段,通過設(shè)備可靠性降低風(fēng)險(xiǎn),例如指紋識(shí)別或面部識(shí)別;其次,多層加密網(wǎng)絡(luò)傳輸通道;另外,在系統(tǒng)層的編碼上增加驗(yàn)證流程,保障數(shù)據(jù)庫安全;最后,保持應(yīng)用端的更新頻率,要知道黑客總是會(huì)走在你前面。總的來說,構(gòu)建一套完善的智能家居體系,除了要靠硬件設(shè)備商、軟件服務(wù)商、云計(jì)算廠商的合作,還要讓資本市場(chǎng)冷靜下來謀長(zhǎng)遠(yuǎn)發(fā)展,畢竟消費(fèi)者的利益才是最重要的。
責(zé)任編輯:吳一波
百年老店Kidde在CES帶來的兩大智能家居的秘密武器
智能家居這樣一路走來 對(duì)話機(jī)器人30年代就有