我們的生活已經被各種智能設備所包圍。無論是亞馬遜的藍牙音箱Amazon Echo,三星的智能電視,智能管家Wink Relay,還是內置于你iPhone上的Siri語言助手,你只需輕輕發送一條語言指令,它們就能按你的想法去工作。
但是如果我們現在告訴你,你的設備并不安全,遠在地球另一邊的某個神秘人正在竊聽你的生活,你或做何感想呢?
這件事乍聽之下,或許會讓你以為這是什么狗血的好萊塢大片。但事實上,它就發生在我們的身邊。根據國外企業安全供應商Veracode在周二時發布的一份報告顯示,許多“物聯網”設備缺少最基礎的安全保護,它們可以被黑客遠程操控,甚至被用來竊聽你在臥室里的談話。
去年十二月份的時候,Veracode的研究員購買、測試、逆向入侵了六個常見的物聯網設備:智能管家SmartThings Hub、Wink Hub、Wink Relay,智能車庫控制器Chamberlain’s MyQ Garage controller,Internet Gateway和語音控制器Ubi。
他們的測試結果如下:據報告顯示,通過竊取Ubi上的數據,歹徒可以知道你什么時候不在家。Chamberlain設備內的安全漏洞則可以讓小偷知道你的車庫大門是開是關,并且他們還可以對Garage controller進行遠程操控。Wink Relay和Ubi上的安全隱患可以讓網絡罪犯“打開麥克風,在設備的監聽范圍內竊聽你的談話,從而引發勒索敲詐或是商業機密的泄漏。”
唯一幸免設備是SmartThings Hub智能管家,除了被黑客黑入到它調試界面這個缺點之外,它在其它方面都表現良好。
無論你用的是什么
這份報告也在去年測試了其他幾款物聯網設備,并且指出了它們存在的安全漏洞。但是那些缺陷目前還并未對大部分用戶造成什么實質的影響。
最重要的是, 那些被Veracode測試過的智能管家,它們的市場還不是很大。事實上,除了三星的SmartThing,你很少能在家庭中看到其它智能管家設備。這份報告也沒涉及那些,你可能之前聽過的設備,像恒溫器Nest,遠程監控攝像頭Dropcam和智能遠程電源控制器WeMo。
Veracode的安全工程師Brandon Creighton表示,我們已經有充分證據顯示,一些能操控監控攝像頭的設備,它們的防御體系是很脆弱的。
“我們想要看看這些新興技術的安全性,揭露那些人們沒有從未想過的安全隱患。”他說道。
另一個值得人們警醒的問題是,對于大多數成功入侵的行為來說,黑客需要先進入受害人的家庭網絡。坦白說,如果他們真得侵入了你的網絡,你的麻煩就大了,他們可以查看你的個人消費記錄或是網銀的賬號密碼。
報告中詳述的其它潛在危險,來自設備制造商的官方網站。當你在申請購買設備時,你所提交的個人信息會被網站自動記錄下來。但Veracode在此次的調查測試中,并沒有嘗試黑入任何上述設備的官網,來收集客戶的個人信息。
Creighton繼續說道,許多安全漏洞往往出現在那些配置了點對點加密技術,或是需要加強密碼強度的設備上。
小心
再來看看Ubi和Wink relays,這兩款設備都是基于Android系統的,Veracode通過一個標準安卓設備調試工具(在產品下線前來測試用的),成功黑入了它們的語音系統。
UCIC(Unified Computer Intelligence Corporation)的CEO,開發了基于安卓系統的Ubi語音控制器的Leor Grebler表示,公司方面已經不再將Ubi定位為一個大眾電子消費產品了,但是它作為一個語音工具,仍將幫助開發者們實現他們產品的語音交互功能。
“我們在幾個月前做了這個決定,開放Ubi的一些權限,讓開發者們來在Ubi的基礎上去創造,”Grebler說道。“在我們的官方論壇上,有如何進入控制設置系統的說明。通過這個方法,即便你是個網絡小白,也可以侵入到我們的網絡來錄音,但是為了避免壞事發生,你必須先同意一些協議。對我們開發的安卓設備來說,這點是有點冒風險的。”
Wink的首席安全官Brian Knopf承認,所有的物聯網產品制造商需要在安全和個人隱私保護方面做得更好,并且呼吁全行業來為物聯網產品制定一個等級體系。他透露Wink公司方面近期已經開展了一個有獎找bug的活動。
“這份調查報告指出,如果物聯網產品想變得更普遍的話,必須首先解決它在安全和個人隱私保護方面的問題,”Knopf說道。
京公網安備 11010502049343號