物聯網是指在小到手表、鑰匙,大到汽車、樓房等世界萬物之中嵌入信息傳感設備,再與互聯網結合起來而形成的一個巨大網絡。對于物聯網黑客怎么看?請想象一下,對于你家中連接至互聯網的車庫大門,懷有惡意的人會做些什么。
信息安全公司Veracode也在研究這一問題。該公司對6款消費類物聯網設備進行了分析,發現這些設備存在令人驚訝的安全漏洞。研究報告中直接列出了每款產品的名稱,以及其中一些具體漏洞。惠普去年進行的一項類似研究沒有指名道姓提到具體的設備,但也得出了類似結論。因此,如果你計劃在家中安裝各種智能設備,那么這一問題應當引起你的關注。
Veracode于去年12月購買了這些設備,并于今年1月在實驗室中進行了測試。在測試過程中,研究者監控了設備的數據輸入輸出。Veracode發現,大部分這些設備存在“嚴重的”信息安全漏洞。“產品制造商對信息安全和隱私保護的關注還不夠,在設計時并未優先考慮這些問題。這導致用戶有可能遭到信息安全攻擊,或是家中被入侵。”
對于這6款產品,Veracode均聯系了生產商,告知了Veracode的結論。這6家公司均對產品漏洞進行了修復。即便如此,這里仍將介紹這一研究中的兩個案例。這兩個案例很有趣,并且略顯棘手。
其中一款產品是Chamberlain的MyQGarage車庫系統。這一設備幫助用戶通過智能手機去打開及關閉車庫大門。Veracode發現,竊賊可能會入侵這一設備,并通過該設備了解用戶的車庫大門是打開還是關閉。這將為入室盜竊提供便利。
對于Veracode的發現,Chamberlain的一名發言人表示,Veracode測試的產品已經“過時”。“我們并不同意報告中的一些結論,并將告知Veracode我們的意見。”
另一款引起我注意的產品是WinkRelay。這是一款支持觸控操作的控制器,大小類似一個燈開關,可以方便地控制家中的許多智能設備。
這款設備支持谷歌Android系統的多個版本。Veracode發現,通過一款被程序員用來調試軟件代碼的工具Android Debug Bridge,這一設備的麥克風可以被打開,從而記錄附近的對話,并將錄音下載至攻擊者的計算機。Veracode在報告中指出,Wink已在隨后的軟件升級中禁用了Android Debug Bridge。
在這6款被測試的物聯網設備中,SmartThings Hub的信息安全問題最少。SmartThings Hub是SmartThings平臺的中心,能夠連接傳感器、門鎖、燈開關、插座、恒溫器,以及其他智能家居產品。這一設備啟用了Telnet服務,可能導致黑客獲得一定的權限。不過,Veracode工程師未能攻破這一設備的其他部分。與Telnet有關的問題可以在設備未來的軟件更新中得到解決。
Veracode的發現表明,智能設備廠商應當更謹慎地對待信息安全和隱私保護問題。報告稱:“很明顯,有必要對這些設備的架構以及配套應用進行信息安全評估,從而使用戶的風險最小化。”
如果研究一下,未來幾年內將會有多少智能設備連接至互聯網,那么信息安全問題顯得尤為重要。市場研究公司Gartner的一份報告顯示,到2020年,全球將有約260億個獨立的智能設備。而Verizon進行的另一項研究表明,目前僅企業用戶使用的智能設備數量就超過10億個。
京公網安備 11010502049343號