搞智能家居?这次聊聊它的暗黑一面!

作者: Sylvie Barak

随着各种产品和平台的相继推出,家居自动化系统也变得越来越智能,互联性越来越高。当然随着更多的智能家居接入网络,我们的日常生活也变得越来越方便和高效。然而别人也更加容易的访问它们,这就出现了安全问题。






图1:随着越来越多的智能家居介入网络,别人也更加容易侵入它们

尽管智能家居带来的好处是显而易见的,但是更重要的是用户开始意识到它们需要放弃一些东西,那就是数据。

人们都知道他们的数据是有价值的。不同组织因不同的原因用户数据对于他们来讲用途也不尽相同,对用户的危害也不同,有的让用户微微不安,有的让用户毛骨悚然,有的则完全影响用户的人身财产安全。

举个例子,智能家居平台在任何时间都会知道哪个家庭成员在家,它会调节合适的温度并且设置好用户喜欢的照明风格,但是对于平台设备供应商而言知道这个数据,他们就可以利用这段时间在用户的智能TV上推广各种广告。

先例已将发生过了,大约10年以前电信公司将家庭的互联网使用数据(能够表明有人员在家)出售给电话销售公司,这样他们就可以给潜在顾客打电话,在这段时间内用户一般都会接电话。现在想一想一个全面联网的智能家居系统让各种销售公司能够多门简单及准确的向用户推销商品。

三星公司最近承认它们的智能电视会保存你的聊天记录。真的是令人毛骨悚然,这家公司的小字条款表明其智能电视的语音识别系统不仅会捕捉用户的私人会话而且还会把数据传送给第三方。按照它的解释,三星公司说他们使用消费者隐私数据“非常严谨”,并声称它们的所有智能电视都采用工业标准安全防护和实践,包括数据加密,保护消费者私人信息并且阻止未经授权的信息采集和使用。

当然无论怎样一些窃贼都能够侵入智能家居系统,从而知道是否有家庭成员在家,这样就窃贼就可以选择合适的时机侵入用户家庭。

“我们增加的每一个智能家居设备都相当于增加了另一扇门或者窗户,没有合适的安全防护机制,相当于锁是不存在的。”Ecovent公司联合创始人Dip Patel说道。Patel首先提出智能家居设备缺少安全特性,折让家居所有者很同意收到攻击,而家居网络和设备就是攻击的工具。

“如今任何东西都可以很轻松的接入网络,但是残酷的事实是智能设备安全性差,容易泄露数据”,他又说道。“任何人只要有一点计算机的知识就可以访问家居网络和任何一个设备”






图2:当面临安全问题时智能设备是无能为力的

Patel指出最近Symantec(美国软件公司,赛门铁克)关于智能家居系统(如智能恒温器,锁,灯泡,烟雾探测器,能源管理设备和中央枢纽)的一项研究调查结果“发人深省”。关于网络互连嵌入式设备导致的入室抢劫可能性问题的深入研究报告可以在这里找到。

大部分设备上的安全问题不仅仅是严重的缺少,有的时候是完全不存在的。举个恰当的例子,Symantec研究发现有五分之一的设备不会对通信进行加密,很多设备在用户尝试多次密码后不会锁定攻击者。

Zach Feldman是纽约编程与设计研究院的联合创始人和学术总监,他说道他个人使用了很多智能家居产品。Feldman声称尽管他使用的大部分产品安全性都比较好,使用OAuth2验证来管理访问控制权限,所有入站与出站的流量都采用SSL加密,但是一些编程新手调试他们的设备并将他们的代码上传到网上,暴露了API秘钥和其他敏感的身份验证数据。如果采用了错误的秘钥,那么一些有趣的异常的情况可能就会发生。

Feldman继续解释道如果某人找到了他的房间API秘钥,那么他可能就会被锁在房间内,要么挨热要么受冻。唯一能组织入侵者的方法只能是撤销或者改变秘钥,当然这可能需要一定水平的意识和技术能力。

Feldman的假设也不是不无根据,近期一个Reddit网站的用户爆料他是怎样报复他的前女友,通过控制前女友家里的恒温器,不断增加室内温度,当时他的前女友和爱人都不在家,当他们回家后又要降低温度,这样他们的电费账单就增加了。

尽管温度入侵看似的烦人的但是大多数情况下是不会造成伤害的,Feldman说智能家居设备中他最担心的就是他的“八月智能锁”被入侵,它是一个物联网应用锁。他说道“如果你回到家感觉屋内要么过冷要么过热,你应该察觉你的房间被黑客使用正确的API秘钥入侵了,你可以利用秘钥分析被黑客入侵的漏洞。”除此外他给入侵自己智能家居组件的人的建议是确保使用环境变量保存敏感验证信息,而不是采用硬件加密。\

这些对于懂技术的人员来讲都很好理解,但是对于那些对技术知识一点儿也不懂的人来说,难道要建议他们买最新推出和“最伟大的”小发明已增加用户家庭成员们的安全感吗?

家居科技专家Lisa Hoffman说道,一些大问题的发生都是因为用户DIY智能家居系统,用户安装摄像头或者锁却忘记了相关信息。“尽管制造商给用户发送了邮件提醒他们相关问题,告诉他们安装更新,他们很忙并没有进行更新。如果围栏有个大洞或者门上没锁,他们都会修复它,但是用户通常不能直观的看到安全风险的存在,直到一切都太晚了,他们才意识到其问题所在。”

可能最可怕的关于智能家居设备出错的故事就是辛辛那提(美国城市)的一对夫妇家中的婴儿监控摄像头被入侵了,并且被一个虚拟的入侵者所控制。






图3:婴儿监控摄像头被虚拟入侵者控制,并不断发出声音“醒醒,宝贝!”

当时辛辛那提这对夫妇感到非常的无助,半夜他们听到一个成年男性的声音从他们女儿的房间里传出,赶紧冲进去,他们发现这个摄像头正朝向他们,而这个“入侵者”叫喊着“醒醒,宝贝”以及一大堆脏话,荒谬的是这个设备起初是想让父母放心的他们的孩子的,现在情况却完全相反。

美国政府已经开始关注这个问题,联邦贸易委员会(FTC)宣称要更好的进行行业监管,并且新设置了一个消费者权益保护部门——技术研究和调查办公室,主要负责监督所有智能设备,从Apple Pay到智能家居。

政府是否能够跟得上智能设备推出和更新的步伐还是值得高度怀疑的。

Ashley Schwartau是安全意识公司(SAC)的创意总监和生产负责人,他认为智能家居的潜在问题不仅仅是来自恶意入侵的黑客。

“假设你的所有智能设备都接入网络并且连接上了你的智能手机的App——你可以控制你的照明灯光,音乐,电视TV,AC和网络”。听起来很棒,是不是?,你是控制中心,对不对?当你的手机死机不能响应你的命令了怎么办?这就引出了信号响应失败的问题,这就相当于把所有鸡蛋放一个篮子里”,她说道。

所有专家都同意的是如果设备不合格很容易会被入侵,那么安装这个智能家居设备就是没有必要的,很显然它不会给用户带来方面,反而是各种风险。

很多人相信智能家居的安全问题需要在设备和系统层进行解决,公司设计产品和采用云服务架构就需要从一开始就要考虑到安全问题,而不是出现问题后再去补救。

Hoffman说道避免被入侵的最好方式就是拥有一个安全的网络系统,雇一个专门的负责人员,既要懂技术又要有较高的道德品质。IT网络是智能家居的基础,如果网络都妥协了,那么自动化也就跟着妥协了。