安全問題籠罩著家庭自動化和物聯網的未來
家庭自動化恐怖故事
展望未來,我們所有設備、小工具和小玩意都會聯網,并相互通信,我們將進入效率和便利的新黃金時代。但問題是:當你的冰箱、溫控器或者家庭安全攝像頭連接到網絡后,它們會像電腦一樣容易受到攻擊,發生故障或中斷。
事實上,智能家居設備比傳統計算設備(例如電腦、筆記本、手機或平板電腦)更容易受到攻擊和破壞。因為網絡安全行業在最近才開始投入資源到這場戰斗,黑客不免占了上風。誰將修復和更新所有這些設備?本文中,我們將看看一些最近發生的真實的家庭自動化恐怖故事。
變得越來越熱
在網絡中,你會看到很多關于連接Wi-Fi的溫控器的危險證據。聯網溫控器背后的想法是,讓你在離開家后調節家里的加熱和冷卻。但如果攻擊者入侵,事情將變得異常糟糕。
去年,霍尼韋爾的智能溫控系統成為新聞頭條。這個故事中,心懷不滿的前夫報復其前妻,以及她新同居的男友,遠程控制著他以前家里的溫控器。“當他們周末外出度假時,我將溫度提升到80度,并在他們到家前調回到40度,我可以想象這會是非常高額的電費。”
不管這樣的做法是否合法,都表明聯網家庭技術的潛在風險。
鎖上你的門和溫控器
當然,安全行業也在關注這些問題。
Nest Labs公司(去年被谷歌收購)有一個專門的工程團隊專注于對其溫控系統的安全威脅。該公司在其網站提供了安全策略和常見問題頁面,并鼓勵安全研究人員挖掘其中的漏洞。
幾個月前,安全公司TrapX確實這樣做了,他們發布了一項研究,其中工程師能夠訪問存儲在Nest溫控器中的數據。隨后該溫控器被用作“跳板”來獲取家中其他聯網設備的控制權限。這個數據泄露事故需要物理地訪問Nest溫控器(特別是USB接口),并沒有證據證明發生過這樣的攻擊。
但TrapX堅信,這種威脅可能存在,例如,有人購買二手Nest溫控器或攻擊者確實可以物理地訪問設備。
攻擊嬰兒監視器
這對于家長來說是個噩夢。2014年4月,Heather Schreck正在家里睡覺,突然她聽到一個男人在朝其隔壁房間10個月的女兒叫喊的聲音。當Heather和她丈夫走進房間時,他們發現有人入侵了他們的聯網嬰兒監視器,并朝嬰兒大喊大叫。
其中還有個特別令人不寒而栗的細節,該嬰兒監視器甚至移動了,攝像頭慢慢轉向這對夫婦,多么令人毛骨悚然!隨后,這個售價200美元的嬰兒監視器的制造商Foscam公司稱,以前還沒有發生過類似的事件。Foscam建議保持該設備固件的更新。
易受攻擊的攝像頭
對家庭安全攝像頭的攻擊是家庭自動化中最可怕的事件之一。去年,數據安全報告稱,TRENDnet流媒體IP攝像頭中的安全漏洞允許攻擊者偷窺家庭和辦公室。如果這個漏洞被公開,這可能引發廣泛傳播。
在隨后的報道中,數百張家庭圖片被貼到網上,突出了這個令人不安的問題。照片甚至客廳、廚房、家庭辦公室等的視頻都開始出現在網站和論壇,試圖暴露這個問題以更快出現補救措施。有人甚至創建了一個互動谷歌地圖,貼出每個有漏洞IP攝像頭的實際位置,該地圖迅速被關閉,但這說明智能家居中的攝像頭可能很快被攻擊。
破門而入
在2013年,福布斯作家Kashmir Hil發表了一篇非常可怕的關于入侵虛擬家庭的文章,其中她自己是黑客。在發現Insteon家庭自動化系統中的安全漏洞后,Hill能夠通過簡單的搜索引擎查詢訪問8個不同的家庭。這種搜索發現智能家居接入點甚至沒有受到簡單密碼的保護。
Hill發現她可以開燈和關燈,還可以操作家庭自動化系統,遠程控制電視機、照相機、水泵、風扇甚至熱水浴缸。“我能夠通過點擊鏈接,讓這些人的家變成鬼屋、能耗噩夢或者搶劫目標,”Hill寫道,“打開車庫門可能讓房子遭遇實際的物理入侵。”Insteon回應稱,有問題的產品已經停產,安全問題隨后已經得到解決。
沖廁所問題
所有去過東京的人會告訴你,在“廁所”這個具體的家電技術領域日本領先于其他國家多年。這不是開玩笑,日本人非常重視他們的入廁體驗。據估計,約70%的日本家庭都有所謂的增強型廁所,具有加熱座椅、遠程控制功能以及坐浴盆功能。而只有約30%的日本家庭有洗碗機。
那么問題來了:攻擊者是否可能控制你的廁所?安全公司Trustwave表示,答案是肯定的。該公司在多年前發布了關于連接藍牙的Satis廁所的公告。Satis廁所具有Android應用程序,讓你坐在馬桶上時,可以觸發浴盆和干燥選項(+本站微信networkworldweixin),或者播放自定義音樂列表。
Trustwave的公告顯示:“攻擊者可以直接下載My Satis應用程序,并用它來反復沖洗馬桶,提高水使用量,從而增加水費。攻擊者還可以反復打開關閉蓋子,激活坐盆或風干功能,給用戶造成不適或痛苦。是的,這將令人頭疼。”
攻擊者瞄準冰箱
“僵尸網絡”的術語通常被用來指這樣的攻擊,即無辜的計算機被劫持用于發送垃圾郵件或發動拒絕服務攻擊。傳統上,攻擊者會瞄準有針對性的電腦、筆記本或平板電腦,但隨著物聯網的發展,攻擊者的目標將會轉移。
在去年一月份,安全服務Proofpoint發布了一份報告探討了他們發現的第一個可行的基于IoT的網絡攻擊,其中涉及傳統的家庭智能家電。該攻擊活動利用了超過10萬臺日常消費電器的計算能力,包括聯網家庭影院系統、電視、家庭網絡路由器以及智能冰箱。該攻擊涉及大量惡意電子郵件―瞄準全世界的企業和個人。在報告中,Proofpoint警告稱,這種僵尸網絡可能更加流行,因為IoT設備通常沒有受到很好的保護,并比電腦更容易感染。
壞燈泡帶來的嚴重后果
家庭自動化恐怖故事并不總是涉及惡意黑客或者偷窺。有時候,可怕的事情可能只是意外。例如一個燒壞的燈泡。
幾年前,計算機科學教授Raul Rojas在其兩層樓的房子配備了非常先進的自動化系統。Rojas專門從事機器人技術和人工智能研究,所以他的智能家庭有機器人在家里巡邏、吸塵甚至修剪草坪。所有Rojas的家電都是聯網,燈、電視、灶具、微波爐和中央空調系統都可以遠程控制。
這一切都非常好,直到有一天,Rojas回到家發現整個房子基本被凍結了。在經過一番調查后,Rojas發現一個燒壞的燈具不斷發送數據包到網絡的中心樞紐,請求修復。這也是一種拒絕服務攻擊,這說明智能家居可能自己玩完自己。
未來恐怖故事
可以肯定的是,未來還會發生更多可怕的故事。物聯網還處于起步階段,智能家居才剛剛開始。對于我們大多數人來說,只有計算機和手機聯網了。當一切事物都連接到互聯網時,例如我們的汽車、家電甚至衣服,前景可能變得非常可怕。
轉自網界網:http://security.cnw.com.cn/security-things/htm2015/20150608_320463_2.shtml
京公網安備 11010502049343號