從舒適到災(zāi)難:智能家居的風(fēng)險(xiǎn)
我們真的要讓全世界的黑客連結(jié)到我們的廚房、空調(diào)以及其他家用設(shè)備嗎?尤其是我們的門鎖?
當(dāng)原本應(yīng)該為生活帶來舒適便利的東西頓時(shí)變成一場(chǎng)災(zāi)難,該怎么辦?
時(shí)間發(fā)生在 2015 年 4 月,美國(guó)華盛頓的一對(duì)夫妻陷入了一個(gè)令人寢食難安的狀況。好一陣子,他們的三歲兒子一直在抱怨有個(gè)隱形人會(huì)在晚上出來跟他講話。一開始,他們還一直叫小孩不要亂講,直到有一天他們真的聽到陌生人的聲音從他們兒子房間里安裝的嬰兒監(jiān)視器中傳出。
那個(gè)聲音說:“小朋友,快起來,你爸爸在找你。”
更令他們毛骨悚然的是,他們發(fā)現(xiàn)該設(shè)備的攝影鏡頭竟然還會(huì)跟著他們移動(dòng),那鬼魂般的聲音接著說:“看看是誰(shuí)來了。”
這只是眾多家庭物聯(lián)網(wǎng)(IoT ,Internet of Thing)設(shè)備遭駭?shù)目植拦适轮弧?/p>
家庭物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)都是以功能為優(yōu)先考慮,其次才想到安全
人們應(yīng)該要能安心地使用智能設(shè)備,但今日的現(xiàn)況并非如此。今日家庭物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)都是以功能為優(yōu)先考慮,其次才想到安全。因此,當(dāng)這些酷炫設(shè)備上市時(shí),經(jīng)常暗藏一些消費(fèi)者在購(gòu)買當(dāng)下考慮不到的安全風(fēng)險(xiǎn)。這不禁讓人懷疑,消費(fèi)者是否真有辦法在興沖沖地將這些設(shè)備帶回家之前,仔細(xì)想清楚它們的好處與風(fēng)險(xiǎn)。
黑客將知道屋主是否在家,或者他們監(jiān)視的對(duì)象是否正在前往某處。當(dāng)然,這些是較極端的情況,但卻一點(diǎn)也不夸張。
嬰兒監(jiān)視器直播隱私
首先是隱私的問題。許多物聯(lián)網(wǎng)設(shè)備都具備錄像和錄音的功能,或者會(huì)將影音數(shù)據(jù)傳送至云端處理。萬(wàn)一黑客有辦法攔截這些內(nèi)容,那就能看到并聽到屋內(nèi)的狀況。再回頭看看前述嬰兒監(jiān)視器的案例,由于黑客找到了設(shè)備的軟件漏洞,因此就能將這些原本讓家長(zhǎng)隨時(shí)關(guān)心兒童狀況的設(shè)備變成現(xiàn)成的監(jiān)視器材。
語(yǔ)音助理蒙上監(jiān)聽陰影
某些物聯(lián)網(wǎng)設(shè)備 (如自動(dòng)化語(yǔ)音助理) 會(huì)隨時(shí)等候用戶下達(dá)語(yǔ)音指令,然后將語(yǔ)音內(nèi)容傳送至云端處理,并在幾秒之內(nèi)做出回應(yīng)。過去已發(fā)生許多關(guān)于這類設(shè)備傳送過多語(yǔ)音數(shù)據(jù)的爭(zhēng)議。
2015年的這篇報(bào)導(dǎo)指出三星電視隱私條款出現(xiàn)以下這段模棱兩可的敘述,認(rèn)為三星電視會(huì)替廣告商收集資料:
“請(qǐng)注意使用語(yǔ)音識(shí)別時(shí),如果你說的話含有個(gè)人或是敏感數(shù)據(jù),這些信息將會(huì)被截取,而且傳送給第三方。”
事后三星發(fā)出聲明稿,解釋他們不會(huì)侵犯使用者的隱私,也修改了隱私權(quán)條款。
正常來說,語(yǔ)音助理只有在聽到某個(gè)關(guān)鍵的“喚醒字眼”才會(huì)啟動(dòng)。例如,要喚醒 Amazon Echo 這個(gè)家庭助理,就要對(duì)它說:“Alexa”。Amazon 向客戶保證,該設(shè)備只會(huì)將它被喚醒之后的語(yǔ)音內(nèi)容傳送至云端,完成使用者要求之后就會(huì)停止。該公司還提供了關(guān)閉隨時(shí)收聽語(yǔ)音內(nèi)容的功能,這一點(diǎn)用戶應(yīng)該好好善用。
穿戴式設(shè)備忠實(shí)記錄用戶的行蹤, 可能將危及人身安全
有一些穿戴式設(shè)備 (如健身手環(huán)) 可以忠實(shí)記錄用戶的行蹤。因此,萬(wàn)一這類數(shù)據(jù)落入不肖之徒手中,很可能將危及人身安全。黑客將知道屋主是否在家,或者他們監(jiān)視的對(duì)象是否正在前往某處。當(dāng)然,這些是較極端的情況,但卻一點(diǎn)也不夸張。
智能鎖頭廠商終止服務(wù),要開鎖得到設(shè)備電池耗盡
除此之外,還有產(chǎn)品壽命的問題,這一點(diǎn)經(jīng)常被忽略。許多物聯(lián)網(wǎng)設(shè)備的功能都必須仰賴廠商在云端的服務(wù)。萬(wàn)一哪天廠商忽然倒閉了,或者被其他廠商給并購(gòu),那么設(shè)備將變成孤兒。日本有一個(gè)叫做“246”的智能型鎖頭就發(fā)生這樣的情況。該鎖頭可以通過智能手機(jī)應(yīng)用程序來上鎖和開鎖。但由于該設(shè)備背后的服務(wù)已在 6 月 30 日終止,因此使用者現(xiàn)在已無法開鎖,除非等到設(shè)備電池耗盡,但根據(jù)廠商的說法,電池大約可撐 180 天左右。使用者若想退款,則必須親自將鎖頭送到該公司辦理。
另一個(gè)例子是 Revolv,這是一個(gè)智能家居中樞設(shè)備,幾年前被 Nest 公司并購(gòu)之后便停止運(yùn)作。此設(shè)備扮演的是家庭指揮中心的角色,它可讓用戶通過應(yīng)用程序來操作其他智能型家電。然而由于 Nest 公司決定在今年 5 月 15 日終止該項(xiàng)服務(wù),因此許多設(shè)備用戶現(xiàn)在手上只剩下一臺(tái)外型超酷但卻毫無用處的設(shè)備。
電力中斷時(shí),智能門鎖會(huì)把你所在門外嗎?
物聯(lián)網(wǎng)的風(fēng)險(xiǎn)可大致歸諸為內(nèi)部與外部?jī)纱笠蛩亍?nèi)部因素是物聯(lián)網(wǎng)廠商或家庭用戶能夠掌控的因素,而外部因素則否。
外部因素包括氣象或電力中斷。例如當(dāng)臺(tái)風(fēng)來襲造成斷電時(shí),家用設(shè)備會(huì)發(fā)生什么狀況?智能門鎖是否將卡在上鎖的狀態(tài)?若是,那使用者豈不是被鎖在門外無法回進(jìn)門?當(dāng)電力恢復(fù)時(shí),設(shè)備會(huì)重設(shè)嗎?
黑客可能關(guān)閉消防警報(bào)、玩弄智能燈泡,甚至刻意造成家用智能設(shè)備故障
其他的外部因素還有黑客攻擊,例如前述家庭遭到監(jiān)視的案例。黑客可利用設(shè)備的漏洞來搜集數(shù)據(jù),進(jìn)一步掌握有關(guān)其監(jiān)視對(duì)象的信息。這些數(shù)據(jù)可能被用來加害或恐嚇受害者。不僅如此,歹徒還可能發(fā)動(dòng)一些中間人攻擊,刻意發(fā)送惡意的指令給設(shè)備,例如:關(guān)閉消防警報(bào)、玩弄智能型燈泡,甚至刻意造成家用智能型設(shè)備故障。當(dāng)惡意攻擊開始進(jìn)入家庭時(shí),原本應(yīng)該為生活帶來舒適便利的東西,將頓時(shí)變成一場(chǎng)災(zāi)。
物聯(lián)網(wǎng)生態(tài)體系牽涉的每一個(gè)環(huán)節(jié)都可能增加安全風(fēng)險(xiǎn),此處僅列出幾項(xiàng)環(huán)節(jié)供您參考。
▲環(huán)境: 電力中斷、天災(zāi)
▲政治社會(huì)因素
▲黑客:中間人攻擊、資料與隱私外泄
▲制造商:固件更新頻率 、設(shè)備技術(shù)支持
▲家庭用戶 : 家庭網(wǎng)絡(luò)設(shè)定、密碼管理
最容易讓歹徒潛入智能家居的,是錯(cuò)誤的家用無線網(wǎng)絡(luò)設(shè)定:如,未變更設(shè)備的默認(rèn)密碼
然而,不幸中的大幸,這類攻擊通常需要花費(fèi)相當(dāng)大的時(shí)間和精力來規(guī)劃和執(zhí)行 (至少目前如此)。因?yàn)椋袆e于一般計(jì)算機(jī)大多采用相當(dāng)普遍的操作系統(tǒng),物聯(lián)網(wǎng)設(shè)備的操作系統(tǒng)相當(dāng)多元化。針對(duì)特定物聯(lián)網(wǎng)設(shè)備所開發(fā)的攻擊手法,并無法輕易套用至不同廠商的產(chǎn)品。此外,有時(shí)黑客必須先購(gòu)買并研究其所要攻擊的物聯(lián)網(wǎng)設(shè)備,才能開發(fā)出針對(duì)該設(shè)備的攻擊。也正因如此,人們其實(shí)不必害怕使用智能型設(shè)備,但需要學(xué)會(huì)當(dāng)個(gè)聰明的使用者。
許多危險(xiǎn)其實(shí)是來自于家庭物聯(lián)網(wǎng)系統(tǒng)的設(shè)定不當(dāng),其中最容易讓歹徒潛入智能家居的,是錯(cuò)誤的家用無線網(wǎng)絡(luò)設(shè)定。例如,用戶若未變更設(shè)備的默認(rèn)密碼,黑客便可輕易進(jìn)入設(shè)備。
物聯(lián)網(wǎng)產(chǎn)品制造商若不適時(shí)更新固件,也會(huì)讓使用者陷入危險(xiǎn)
此外,物聯(lián)網(wǎng)產(chǎn)品制造商若不適時(shí)更新固件,也會(huì)讓使用者陷入危險(xiǎn)。因?yàn)檫@將使得網(wǎng)絡(luò)上許多家庭的設(shè)備都含有漏洞。廠商將源代碼公開,從技術(shù)角度而言并非壞事,因?yàn)檠芯咳藛T可以借此測(cè)驗(yàn)設(shè)備的安全性,但黑客同樣也可從這些程序代碼當(dāng)中找到漏洞。
我們將在物聯(lián)網(wǎng)安全系列文章的最后一篇探討設(shè)備廠商和家庭用戶該如何防范上述各項(xiàng)風(fēng)險(xiǎn)。