噱头不等于安全 智能家居是黑客的另类入口
慧聪净水网智能家居说了已经5年了,虽然没有什么起色,但是很多人都在做,例如室内温度、照明亮度、空气湿度、背景音乐等都用无线网络连接起来然后进行控制,这就是似乎很让人享受的物联网。但是,谁也没想到,他们会成为黑客的另类入口。
10款智能家居中有250种漏洞
物联网带来的价值包含了渠道商的红利,对广告商也有潜在的刺激作用,设备商也可借此大做文章。但是,一份报告却让大家忧心忡忡:物联网漏洞可能会导致关键基础设施被破坏、竞争情报与知识产权遭窃,甚至DDoS攻击增加后也会瘫痪DynDNS系统,导致重要网域瘫痪。这并非危言耸听,早在四年前,惠普的安全部门就在市面热销的10款消费级智能家居产品中,发现了250种安全漏洞,涉及品类众多:电视、电源插座、网络摄像头、门锁、警报器、无所不包。显然,很多制造商急着把产品推向市场,并没有做好防护工作。
把控50%的流量安全
数据显示,到2020年物联网带来的经济附加值将达到1.9万亿美元。根据Metcalfe'sLaw,网络价值和用户数的平方是成正比的,当越来越多的人和智能的物连接在一个网络上,会让整个网络增值。调研机构预计,未来79%的IoT流量将通过网关接入,50%的网络流量将来自物联网,而物联网将贡献超过500亿的连接。NB-IoT大幅降低了连接的功耗和成本,即使是最简单的事物也能提供有价值的物联网服务,也就是说,要安全必须把控来自50%的物联网流量。
把不住就乱套了
想象一下,你在电子卖场购买了智能插座,回家把空调、冰箱、洗衣机都接上了,不一会儿空调自己开了。后来当你把电脑插上去之后,智能插座也连接了网络,路由器的IP地址随即被修改。再之后,你的摄像头、电视…都开始不由自主地工作,这一切并非科幻事件,而是由背后的黑客在控制。更可怕的是,你的个人信息也会随之曝光。
记得在两年前,某家电品牌的智能冰箱系统被白帽子黑客现场攻破,后者成功入侵后实现了对所有家电和家居的控制:家中门窗被打开、电器被任意操控、插座自动断掉、智能家居完全不听使唤。令人不安的是,破解的手段并不复杂,只需要利用智能网关的漏洞绕过监管,直接控制手机APP,就能在无需配对校验的情况下接管所有设备。
逻辑连接关系不能暴露
听说过黑入网络摄像头监视别人的,还没见过控制吸尘器当监视器的,这不就来了。去年,一群闲来无事的白帽子们通过解析某知名品牌的扫地机器人的UART(通用异步收发传输器),发现了其中的逻辑连接关系,并可利用其访问文件系统。当主进程被控制时,该设备与应用程序之间的通讯代码即被攻破。只要绕过反root和SSLpining机制,黑客就能拦截应用流量,再借助假冒的LG账户进行登录。这种情况屡见不鲜,如果赶上大厂商可以及时软件升级还好说,要是半年不更新一次的恐怕就惨了。
核心命令没有严密保障
其实不止是APP端的漏洞,集线器总是被集成在传感器中用于控制连接设备。而这种部件的固件可以在网上下载到对应的版本,并且支持对文件内容的修改。有专家曾经测试过,集线器的固件系统采用的DES加密算法很容易被破解,而且通过物理访问的方式会发现含有序列号的核心命令行是通过HTTP发送的,并没有得到严密保障。以config.jar文件为例,其中可能会包括联网设备的登录名和密码,这就足以发起Web端的攻击了。
智能不等于智能安全
物联网的风口谁都想抓住,而智能家居的蓝海也让一众配件厂商看到了希望。随着资本市场的疯狂涌入,大家一窝蜂似的搞起了智能设备,但是智能并不等于万能,更不等于万能的安全。尤其是在万物互联、智能遍地的今天,黑客并不需要很高的技术门槛。一款名为"Mirai"的恶意软件在短时间内不仅感染了全球数十万台IoT设备,还让亚马逊、Spotify、Twitter等公司瞬间挂掉。
噱头更不等于安全
随着物联网承载的个人信息逐渐增多,在人们生活中扮演的角色也越来越重要,如何妥善管理这些智能联网设备就变得非常关键。除了大品牌的智能产品之外,一些小厂商的设备仍停留在"噱头"阶段,只是增加了简单的网络控制功能,往好了说是性价比不高,往坏了说稍微懂点技术就被将其破解,对消费者是不负责任的。
这些不成熟的产品没有经过多层验证,急于上市使得接口防御尚未完善,导致后期打补丁时的难度变高。此外,由于物联网牵扯的技术既有边缘计算、网络通讯,也有信息处理和交互,使得运行过程出错的几率也会增大。对于初创企业来说,往往会迫于资本压力将产品快速推向市场,而不会投入大力气去做安全方案。
结束语
综上,如果要让智能家居用着放心,首先要有智能安全防护手段,在前端强化硬件防护手段,通过设备可靠性降低风险,例如指纹识别或面部识别等;其次,多层加密网络传输通道;另外,在系统层的编码上增加验证流程,保障数据库安全;最后,保持应用端的更新频率,要知道黑客总是会走在用户前面,但安全就意味着厂商应该走在黑客的前面。
