在安全社區(qū),工程師門對(duì)物聯(lián)網(wǎng)(IoT)有其自己的名稱。他們稱其為“不安全物聯(lián)網(wǎng)”。
“在未來,甚至燈泡都將通過WiFi控制,”IEEE的高級(jí)會(huì)員和北愛爾蘭阿爾斯特大學(xué)的高級(jí)計(jì)算機(jī)科學(xué)講師KevinCurran說,“以后,人們將不得不更新他們的燈泡。他們準(zhǔn)備好了嗎?”
人們并不擔(dān)心他們的設(shè)備,這才是真正的安全風(fēng)險(xiǎn)。智能嬰兒監(jiān)視器、網(wǎng)絡(luò)攝像頭、家庭安全系統(tǒng)、恒溫器、冰箱和可穿戴式設(shè)備都是極易受到安全漏洞攻擊的小型特洛伊木馬。未來這些影響范圍非常廣,甚至延伸至廣告欺詐。
當(dāng)消費(fèi)者忘記更新他們的物聯(lián)網(wǎng)設(shè)備時(shí),可能就是問題開始的時(shí)候,而且極有可能。許多設(shè)備甚至無法安全運(yùn)行,因?yàn)槠鋬?nèi)存空間有限且處理器很慢,Curran說。
“此類設(shè)備給網(wǎng)絡(luò)罪犯留下了安裝腳本的場(chǎng)所,他們借此進(jìn)入網(wǎng)絡(luò),”Curran說。“這是掛在低處的水果。隨著時(shí)間的推移,漏洞利用會(huì)愈加完善。而插件越多,人們就越懶得更新它們。”
這簡(jiǎn)直就是通往物聯(lián)網(wǎng)敞開后門的智能紅地毯。
甚至有一個(gè)叫Shodan的網(wǎng)站,允許訪客搜索連接到互聯(lián)網(wǎng)的任何設(shè)備以及相關(guān)聯(lián)的IP地址和默認(rèn)密碼,消費(fèi)者往往忽略更改密碼。這個(gè)網(wǎng)站好比是物聯(lián)網(wǎng)界的谷歌。
而且因?yàn)槿f(wàn)物相連,甚至有可能鏈接到廣告欺詐。“如果你有一臺(tái)能夠生成可視展現(xiàn)數(shù)和穿過所有設(shè)備隧道的中心計(jì)算機(jī),即使一個(gè)瀏覽器沒有設(shè)置,也可將其轉(zhuǎn)化為一個(gè)開放的代理,” Forensiq創(chuàng)始人兼首席執(zhí)行官 DavidSendroff說。“全國(guó)和全球各地都有IP地址被用于欺詐。物聯(lián)網(wǎng)只是代理的一個(gè)新出口。”
在安全社區(qū)還有另一種說法,Curran說:“如果你想要安全地在線,就別買電腦,如果你買了一臺(tái)電腦,不要插電源。”否則,只要使用設(shè)備,必定會(huì)被利用。
雖然可信賴問責(zé)組織(TrustworthyAccountability Group,由IAB、ANA和4A組成的行業(yè)內(nèi)反欺詐聯(lián)盟)尚未對(duì)物聯(lián)網(wǎng)做出正式的評(píng)論,但其主要聚焦領(lǐng)域之一就是惡意軟件。
“罪犯通過惡意代碼段傳播惡意軟件,通常是通過廣告,然后接管人們的電腦并創(chuàng)建僵尸網(wǎng)絡(luò),”TAG總裁兼首席執(zhí)行官M(fèi)ike Zaneis說。“他們從那里可以生成他們想要的任何級(jí)別的欺詐性流量,并將流量推送到其自己的網(wǎng)站,這些網(wǎng)站通常充斥大量盜版內(nèi)容。”
從理論上講,這類活動(dòng)不會(huì)局限于網(wǎng)絡(luò)廣告領(lǐng)域。
“試想這樣一個(gè)可怕場(chǎng)景:有人購(gòu)買了某一特定型號(hào)家庭路由器的零日漏洞,如果他們有正確的網(wǎng)卡、桌面計(jì)算機(jī)上的軟件且能連接到互聯(lián)網(wǎng),就有可能掃描數(shù)十億的IP地址以找到這些設(shè)備,然后他們以每天一百萬(wàn)的速度安裝一個(gè)無界面瀏覽器,借此實(shí)施廣告欺詐,并且賺得盆滿缽滿,”Forensiq首席科學(xué)家Mike Andrews說。
Curran說得更直白:“在未來,當(dāng)烤箱連接到互聯(lián)網(wǎng)時(shí),你怎么知道它們不會(huì)運(yùn)行一個(gè)僵尸網(wǎng)絡(luò)呢?”
當(dāng)然,眾所周知,騙子跟著錢走,這就是物聯(lián)網(wǎng)欺詐以后面臨的場(chǎng)景。MediaTrust的首席風(fēng)險(xiǎn)官Alex Calic說他的團(tuán)隊(duì)已經(jīng)注意到“一些早期活動(dòng),這使我們意識(shí)到壞人正測(cè)試通過這些平臺(tái)能得到些什么。”
Media Trust運(yùn)營(yíng)一個(gè)惡意軟件監(jiān)測(cè)網(wǎng)絡(luò)。雖然其大部分業(yè)務(wù)是密切關(guān)注網(wǎng)絡(luò),但聯(lián)網(wǎng)電視和游戲控制臺(tái)也是其業(yè)務(wù)范圍的一部分。
“智能電視內(nèi)部裝有應(yīng)用程序,對(duì)罪犯而言,這是一片廣闊的運(yùn)動(dòng)場(chǎng),他們能大展身手,”Calic說。“隨著廣告科技生態(tài)系統(tǒng)變得更加成熟和智能以及更加擅長(zhǎng)在電視和設(shè)備中投放廣告,你就會(huì)看到惡意軟件開始擴(kuò)散。”
有兩種基本類型的安全入侵,Calic說。一種是人們?cè)噲D侵入一個(gè)特定的網(wǎng)絡(luò)或平臺(tái)。另一種是使用第三方代碼進(jìn)入這些環(huán)境。“廣告技術(shù)是目前最大的第三方代碼——注冊(cè)自助式服務(wù),你會(huì)很快通過生態(tài)系統(tǒng)獲得惡意軟件,”Calic說。“廣告技術(shù)會(huì)將網(wǎng)絡(luò)罪犯帶到那些新環(huán)境中。這比蠻力攻擊更加簡(jiǎn)單。”