国外调查机构Trustwave的安全调查员Bryan和Crowley在去年得知可以用智能手机远程控制的门锁 Lockitron将上市时,就开始意识到物联网设备存在的安全问题。虽然当时Lockitron还没有上市,但是市面上已经有了不少可以通过物联网控制的家用电器,比如说灯泡、马桶、温度计等,他们经过测试发现这些产品都存在严重的安全漏洞。
众所周知,物联网现在正在以廉价、普及的姿态往普通消费者家中走去,不少家电厂商生产的家电早就可以通过网络进行控制和管理,然而就是这个能给消费者带来便利的“物联网”却存在严重的问题。根据美国 ABI 调查公司的数据,目前大约有100亿台可使用无线网络接入互联网的设备,到2020年,这一数字将达到 300 亿。从现在来看,虽然智能手机、平板电脑和笔记本电脑占了绝大部分,但是未来的市场增长领域一定是家庭使用的配备有廉价传感器的物联网设备,也就是说,到2020年,大部分联网设备将是物联网设备。
小到门锁、插座,大到电表、马桶、空调,都可以通过物联网进行控制,而在黑客眼中,这些都是可以入侵的“好东西”。电脑发展了几十年,杀毒软件、防火墙等保护措施都已经发展的非常完善,然而Crowley和 Bryan两人指出,物联网设备几乎没有采取任何保护措施。他们两人建议物联网设备生产商要多花些时间提高设备的安全性,而不是急着推出产品。
Crowley 说:“每个产品的安全等级不同,但是都存在一个问题,那就是使用设备不需要任何认证过程。”例如,Crowley和 Bryan测试了物联网中心控制设备 Veralight,在默认设置下,任何人不需要任何用户名和密码就可以进入Veralight的控制系统中进行操控,即便开启了安全措施,依旧可以采取多种方式绕过安全认证对家用设备进行控制。最近,Crowley和Bryan发现随便用一台Android智能手机就可以控制入侵Satis智能马桶,让其不断冲水,不断大声播放音乐。在今年的黑帽安全会议,他们两人已经将物联网设备的这些安全漏洞全部曝光。
Crowley 和 Bryan 两人在发现了设备的漏洞之后便联系生产厂家,但是没有任何一个厂家愿意直接承认自己的错误。在 Veralight 的答复信件中,Veralight 认为“我们的设备与目前市面上的家庭自动化产品安全系数相同或者更高”。日本智能马桶 Lixel 厂商则反驳说两人发现的是特殊情况,智能马桶必须与手机配对后才能使用。
然而在互联网安全专家眼中,物联网设备或家用智能设备的安全漏洞可能带来的风险要比厂商的官方回复更严重。如果黑客们发现了远程门锁上的一个漏洞,他们就可以在同时入侵所有的此类门锁。如果同一个楼宇使用的是一个系统的产品,一旦入侵,整栋楼就像超市一样,小偷想来就来想走就走;而同一个楼盘一般使用的都是同一款产品,那么整个小区可能就成了菜市场,小偷们如入无人之地。
美国华盛顿大学计算机安全与隐私专业副教授Yoshi Kohno表示,“很难准确地描述物联网的漏洞能带来多么严重的问题。”他也发现了像汽车、医疗设备、玩具等联网设备的安全漏洞,比如黑客可以入侵一个带摄像头的儿童玩具并开启摄像头进行偷拍。“别等到出了事再后悔。”
美国佛吉尼亚大学研究智能住宅的副教授Kamin Whitehouse则认为,即便给智能设备增加了安全措施,黑客依旧有“利”可图。在他的研究中,他发现即便家用智能设备的数据传输已经加密过,黑客依旧可以根据分析网络流量来猜测消费者的日常生活行为,了解消费者的习性。“一旦家中的设备都开始接入网络,黑客没有理由不来。”
不过在Crowley和Bryan眼中,物联网的安全问题会得到积极改善。Lockitron门锁的新版已经开始提供更多的安全细节,比如说检测到非主人使用时会发送电子邮件进行问询。生产Lockitron门锁的Apigy公司说对于 Crowley 提出的安全问题非常重视。Crowley最后说:“要破解Lockitron是一项大工程,虽然依旧可以被破解,但是起码提高了安全等级。”
