我們真的要讓全世界的黑客連結到我們的廚房、空調(diào)以及其他家用設備嗎?尤其是我們的門鎖?
當原本應該為生活帶來舒適便利的東西頓時變成一場災難,該怎么辦?
時間發(fā)生在 2015 年 4 月���,美國華盛頓的一對夫妻陷入了一個令人寢食難安的狀況���。好一陣子,他們的三歲兒子一直在抱怨有個隱形人會在晚上出來跟他講話�����。一開始��,他們還一直叫小孩不要亂講�����,直到有一天他們真的聽到陌生人的聲音從他們兒子房間里安裝的嬰兒監(jiān)視器中傳出�。
那個聲音說:“小朋友,快起來�����,你爸爸在找你。”
更令他們毛骨悚然的是��,他們發(fā)現(xiàn)該設備的攝影鏡頭竟然還會跟著他們移動�����,那鬼魂般的聲音接著說:“看看是誰來了�����。”
這只是眾多家庭物聯(lián)網(wǎng)(IoT �,Internet of Thing)設備遭駭?shù)目植拦适轮弧?/p>
家庭物聯(lián)網(wǎng)設備的設計都是以功能為優(yōu)先考慮,其次才想到安全
人們應該要能安心地使用智能設備����,但今日的現(xiàn)況并非如此。今日家庭物聯(lián)網(wǎng)設備的設計都是以功能為優(yōu)先考慮�,其次才想到安全。因此�,當這些酷炫設備上市時,經(jīng)常暗藏一些消費者在購買當下考慮不到的安全風險�����。這不禁讓人懷疑����,消費者是否真有辦法在興沖沖地將這些設備帶回家之前����,仔細想清楚它們的好處與風險�。
黑客將知道屋主是否在家��,或者他們監(jiān)視的對象是否正在前往某處���。當然����,這些是較極端的情況��,但卻一點也不夸張�。
嬰兒監(jiān)視器直播隱私
首先是隱私的問題。許多物聯(lián)網(wǎng)設備都具備錄像和錄音的功能���,或者會將影音數(shù)據(jù)傳送至云端處理�����。萬一黑客有辦法攔截這些內(nèi)容�����,那就能看到并聽到屋內(nèi)的狀況����。再回頭看看前述嬰兒監(jiān)視器的案例,由于黑客找到了設備的軟件漏洞�����,因此就能將這些原本讓家長隨時關心兒童狀況的設備變成現(xiàn)成的監(jiān)視器材���。
語音助理蒙上監(jiān)聽陰影
某些物聯(lián)網(wǎng)設備 (如自動化語音助理) 會隨時等候用戶下達語音指令���,然后將語音內(nèi)容傳送至云端處理,并在幾秒之內(nèi)做出回應����。過去已發(fā)生許多關于這類設備傳送過多語音數(shù)據(jù)的爭議。
2015年的這篇報導指出三星電視隱私條款出現(xiàn)以下這段模棱兩可的敘述�,認為三星電視會替廣告商收集資料:
“請注意使用語音識別時,如果你說的話含有個人或是敏感數(shù)據(jù)����,這些信息將會被截取����,而且傳送給第三方����。”
事后三星發(fā)出聲明稿,解釋他們不會侵犯使用者的隱私�,也修改了隱私權條款���。
正常來說����,語音助理只有在聽到某個關鍵的“喚醒字眼”才會啟動��。例如��,要喚醒 Amazon Echo 這個家庭助理��,就要對它說:“Alexa”��。Amazon 向客戶保證�,該設備只會將它被喚醒之后的語音內(nèi)容傳送至云端,完成使用者要求之后就會停止��。該公司還提供了關閉隨時收聽語音內(nèi)容的功能,這一點用戶應該好好善用��。
穿戴式設備忠實記錄用戶的行蹤�����, 可能將危及人身安全
有一些穿戴式設備 (如健身手環(huán)) 可以忠實記錄用戶的行蹤����。因此,萬一這類數(shù)據(jù)落入不肖之徒手中����,很可能將危及人身安全。黑客將知道屋主是否在家���,或者他們監(jiān)視的對象是否正在前往某處�。當然���,這些是較極端的情況�����,但卻一點也不夸張��。
智能鎖頭廠商終止服務��,要開鎖得到設備電池耗盡
除此之外�,還有產(chǎn)品壽命的問題,這一點經(jīng)常被忽略���。許多物聯(lián)網(wǎng)設備的功能都必須仰賴廠商在云端的服務����。萬一哪天廠商忽然倒閉了����,或者被其他廠商給并購�,那么設備將變成孤兒。日本有一個叫做“246”的智能型鎖頭就發(fā)生這樣的情況�。該鎖頭可以通過智能手機應用程序來上鎖和開鎖。但由于該設備背后的服務已在 6 月 30 日終止���,因此使用者現(xiàn)在已無法開鎖���,除非等到設備電池耗盡,但根據(jù)廠商的說法����,電池大約可撐 180 天左右����。使用者若想退款�����,則必須親自將鎖頭送到該公司辦理��。
另一個例子是 Revolv����,這是一個智能家居中樞設備,幾年前被 Nest 公司并購之后便停止運作�。此設備扮演的是家庭指揮中心的角色,它可讓用戶通過應用程序來操作其他智能型家電����。然而由于 Nest 公司決定在今年 5 月 15 日終止該項服務,因此許多設備用戶現(xiàn)在手上只剩下一臺外型超酷但卻毫無用處的設備���。
電力中斷時�����,智能門鎖會把你所在門外嗎?
物聯(lián)網(wǎng)的風險可大致歸諸為內(nèi)部與外部兩大因素����。內(nèi)部因素是物聯(lián)網(wǎng)廠商或家庭用戶能夠掌控的因素,而外部因素則否�。
外部因素包括氣象或電力中斷。例如當臺風來襲造成斷電時����,家用設備會發(fā)生什么狀況?智能門鎖是否將卡在上鎖的狀態(tài)?若是,那使用者豈不是被鎖在門外無法回進門?當電力恢復時��,設備會重設嗎?
黑客可能關閉消防警報����、玩弄智能燈泡,甚至刻意造成家用智能設備故障
其他的外部因素還有黑客攻擊���,例如前述家庭遭到監(jiān)視的案例。黑客可利用設備的漏洞來搜集數(shù)據(jù)��,進一步掌握有關其監(jiān)視對象的信息�����。這些數(shù)據(jù)可能被用來加害或恐嚇受害者。不僅如此�����,歹徒還可能發(fā)動一些中間人攻擊�����,刻意發(fā)送惡意的指令給設備����,例如:關閉消防警報、玩弄智能型燈泡�,甚至刻意造成家用智能型設備故障。當惡意攻擊開始進入家庭時�,原本應該為生活帶來舒適便利的東西,將頓時變成一場災�����。
物聯(lián)網(wǎng)生態(tài)體系牽涉的每一個環(huán)節(jié)都可能增加安全風險���,此處僅列出幾項環(huán)節(jié)供您參考��。
▲環(huán)境: 電力中斷��、天災
▲政治社會因素
▲黑客:中間人攻擊���、資料與隱私外泄
▲制造商:固件更新頻率 �����、設備技術支持
▲家庭用戶 :家庭網(wǎng)絡設定����、密碼管理
最容易讓歹徒潛入智能家居的�,是錯誤的家用無線網(wǎng)絡設定:如,未變更設備的默認密碼
然而�,不幸中的大幸,這類攻擊通常需要花費相當大的時間和精力來規(guī)劃和執(zhí)行 (至少目前如此)����。因為,有別于一般計算機大多采用相當普遍的操作系統(tǒng)��,物聯(lián)網(wǎng)設備的操作系統(tǒng)相當多元化�����。針對特定物聯(lián)網(wǎng)設備所開發(fā)的攻擊手法���,并無法輕易套用至不同廠商的產(chǎn)品�。此外����,有時黑客必須先購買并研究其所要攻擊的物聯(lián)網(wǎng)設備,才能開發(fā)出針對該設備的攻擊�����。也正因如此���,人們其實不必害怕使用智能型設備���,但需要學會當個聰明的使用者。
許多危險其實是來自于家庭物聯(lián)網(wǎng)系統(tǒng)的設定不當���,其中最容易讓歹徒潛入智能家居的�����,是錯誤的家用無線網(wǎng)絡設定�����。例如����,用戶若未變更設備的默認密碼,黑客便可輕易進入設備���。
物聯(lián)網(wǎng)產(chǎn)品制造商若不適時更新固件����,也會讓使用者陷入危險
此外�,物聯(lián)網(wǎng)產(chǎn)品制造商若不適時更新固件,也會讓使用者陷入危險��。因為這將使得網(wǎng)絡上許多家庭的設備都含有漏洞����。廠商將源代碼公開,從技術角度而言并非壞事�,因為研究人員可以借此測驗設備的安全性,但黑客同樣也可從這些程序代碼當中找到漏洞�����。
我們將在物聯(lián)網(wǎng)安全系列文章的最后一篇探討設備廠商和家庭用戶該如何防范上述各項風險���。
來源:機房動力環(huán)境監(jiān)控 動力環(huán)境監(jiān)控系統(tǒng) http://qdlanhai.cn/solution/ 本文采集于網(wǎng)絡����,如有問題有聯(lián)系刪除
