進(jìn)步還是退步 智能家居聯(lián)網(wǎng)隱患重重

智能家居近年來發(fā)展形勢迅猛，越來越多的家用電器開始接入網(wǎng)絡(luò)，以備人們更好的調(diào)控家中物品，享受智慧生活。不過，在這一過程中，總有些陰云浮在空中，讓人無法全然放心。想想那些常年在網(wǎng)上胡作非為的黑客們，他們會不會也來惡意控制這些設(shè)備，比如遠(yuǎn)程打開家門讓小偷進(jìn)入，調(diào)高空調(diào)溫度讓人熱醒，惡意沖馬桶浪費(fèi)水，打開攝像頭進(jìn)行偷拍等。當(dāng)然，黑客們能做的遠(yuǎn)不止這些。

智能家居聯(lián)網(wǎng)隱患重重

國外調(diào)查機(jī)構(gòu) Trustwave的安全調(diào)查員Bryan和Crowley在去年得知可以用智能手機(jī)遠(yuǎn)程控制的門鎖Lockitron將上市時(shí)，就開始意識到智能家居設(shè)備存在的安全問題。雖然當(dāng)時(shí)Lockitron還沒有上市，但是市面上已經(jīng)有了不少可以通過網(wǎng)絡(luò)控制的家用電器，比如說燈泡、馬桶、溫度計(jì)等，他們經(jīng)過測試發(fā)現(xiàn)這些產(chǎn)品都存在嚴(yán)重的安全漏洞。

眾所周知，智能家居雖然還未普及，但和智能家居關(guān)系不淺的物聯(lián)網(wǎng)卻正以廉價(jià)、普及的姿態(tài)往普通消費(fèi)者家中走去，不少家電廠商生產(chǎn)的家電早就可以通過網(wǎng)絡(luò)進(jìn)行控制和管理，然而就是這個(gè)能給消費(fèi)者帶來便利的“物聯(lián)網(wǎng)”卻存在嚴(yán)重的問題。根據(jù)美國ABI調(diào)查公司的數(shù)據(jù)，目前大約有100億臺可使用無線網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的設(shè)備，到2020年，這一數(shù)字將達(dá)到300億。從現(xiàn)在來看，雖然智能手機(jī)、平板電腦和筆記本電腦占了絕大部分，但是未來的市場增長領(lǐng)域一定是家庭使用的配備有廉價(jià)傳感器的智能家居設(shè)備，也就是說，到2020年，大部分智能家居設(shè)備都將是物聯(lián)網(wǎng)設(shè)備。

小到門鎖、插座，大到電表、馬桶、空調(diào)，都可以通過網(wǎng)絡(luò)進(jìn)行控制，而在黑客眼中，這些都是可以入侵的“好東西”。電腦發(fā)展了幾十年，殺毒軟件、防火墻等保護(hù)措施都已經(jīng)發(fā)展的非常完善，然而Crowley和Bryan兩人指出，智能家居設(shè)備幾乎沒有采取任何保護(hù)措施。他們兩人建議智能家居設(shè)備生產(chǎn)商要多花些時(shí)間提高設(shè)備的安全性，而不是急著推出產(chǎn)品。

Crowley說：“每個(gè)產(chǎn)品的安全等級不同，但是都存在一個(gè)問題，那就是使用設(shè)備不需要任何認(rèn)證過程�！崩�如，Crowley和Bryan測試了智能家居中心控制設(shè)備Veralight，在默認(rèn)設(shè)置下，任何人不需要任何用戶名和密碼就可以進(jìn)入Veralight的控制系統(tǒng)中進(jìn)行操控，即便開啟了安全措施，依舊可以采取多種方式繞過安全認(rèn)證對家用設(shè)備進(jìn)行控制。最近，Crowley和Bryan發(fā)現(xiàn)隨便用一臺Android智能手機(jī)就可以控制入侵 Satis智能馬桶，讓其不斷沖水，不斷大聲播放音樂。在今年的黑帽安全會議，他們兩人已經(jīng)將智能家居設(shè)備的這些安全漏洞全部曝光。

Crowley 和Bryan兩人在發(fā)現(xiàn)了設(shè)備的漏洞之后便聯(lián)系生產(chǎn)廠家，但是沒有任何一個(gè)廠家愿意直接承認(rèn)自己的錯誤。在Veralight的答復(fù)信件中，Veralight認(rèn)為“我們的設(shè)備與目前市面上的家庭自動化產(chǎn)品安全系數(shù)相同或者更高”。日本智能馬桶Lixel廠商則反駁說兩人發(fā)現(xiàn)的是特殊情況，智能馬桶必須與手機(jī)配對后才能使用。

然而在互聯(lián)網(wǎng)安全專家眼中，物聯(lián)網(wǎng)設(shè)備或家用智能設(shè)備的安全漏洞可能帶來的風(fēng)險(xiǎn)要比廠商的官方回復(fù)更嚴(yán)重。如果黑客們發(fā)現(xiàn)了遠(yuǎn)程門鎖上的一個(gè)漏洞，他們就可以在同時(shí)入侵所有的此類門鎖。如果同一個(gè)樓宇使用的是一個(gè)系統(tǒng)的產(chǎn)品，一旦入侵，整棟樓就像超市一樣，小偷想來就來想走就走;而同一個(gè)樓盤一般使用的都是同一款產(chǎn)品，那么整個(gè)小區(qū)可能就成了菜市場，小偷們?nèi)缛霟o人之地。

美國華盛頓大學(xué)計(jì)算機(jī)安全與隱私專業(yè)副教授YoshiKohno表示，“很難準(zhǔn)確地描述的漏洞能帶來多么嚴(yán)重的問題。”他也發(fā)現(xiàn)了像汽車、醫(yī)療設(shè)備、玩具等聯(lián)網(wǎng)設(shè)備的安全漏洞，比如黑客可以入侵一個(gè)帶攝像頭的兒童玩具并開啟攝像頭進(jìn)行偷拍。“別等到出了事再后悔。”

美國佛吉尼亞大學(xué)研究智能住宅的副教授KaminWhitehouse則認(rèn)為，即便給智能設(shè)備增加了安全措施，黑客依舊有“利”可圖。在他的研究中，他發(fā)現(xiàn)即便家用智能設(shè)備的數(shù)據(jù)傳輸已經(jīng)加密過，黑客依舊可以根據(jù)分析網(wǎng)絡(luò)流量來猜測消費(fèi)者的日常生活行為，了解消費(fèi)者的習(xí)性�！耙坏┘抑械脑O(shè)備都開始接入網(wǎng)絡(luò)，黑客沒有理由不來�！�

不過在Crowley和Bryan眼中，智能家居的安全問題會得到積極改善。Lockitron門鎖的新版已經(jīng)開始提供更多的安全細(xì)節(jié)，比如說檢測到非主人使用時(shí)會發(fā)送電子郵件進(jìn)行問詢。生產(chǎn)Lockitron門鎖的Apigy公司說對于Crowley提出的安全問題非常重視。Crowley最后說：“要破解Lockitron是一項(xiàng)大工程，雖然依舊可以被破解，但是起碼提高了安全等級。”