想知道黑客如何看待物聯(lián)網(wǎng)嗎?請想象一下,對于你家中連接至互聯(lián)網(wǎng)的車(chē)庫大門(mén),懷有惡意的人會(huì )做些什么。
信息安全公司Veracode也在研究這一問(wèn)題。該公司對6款消費類(lèi)物聯(lián)網(wǎng)設備進(jìn)行了分析,發(fā)現這些設備存在令人驚訝的安全漏洞。研究報告中直接列出了每款產(chǎn)品的名稱(chēng),以及其中一些具體漏洞。惠普去年進(jìn)行的一項類(lèi)似研究沒(méi)有指名道姓提到具體的設備,但也得出了類(lèi)似結論。因此,如果你計劃在家中安裝各種智能設備,那么這一問(wèn)題應當引起你的關(guān)注。
Veracode于去年12月購買(mǎi)了這些設備,并于今年1月在實(shí)驗室中進(jìn)行了測試。在測試過(guò)程中,研究者監控了設備的數據輸入輸出。Veracode發(fā)現,大部分這些設備存在“嚴重的”信息安全漏洞。“產(chǎn)品制造商對信息安全和隱私保護的關(guān)注還不夠,在設計時(shí)并未優(yōu)先考慮這些問(wèn)題。這導致用戶(hù)有可能遭到信息安全攻擊,或是家中被入侵。”
對于這6款產(chǎn)品,Veracode均聯(lián)系了生產(chǎn)商,告知了Veracode的結論。這6家公司均對產(chǎn)品漏洞進(jìn)行了修復。即便如此,我仍將介紹這一研究中的兩個(gè)案例。這兩個(gè)案例很有趣,并且略顯棘手。
其中一款產(chǎn)品是Chamberlain的MyQ Garage車(chē)庫系統。這一設備幫助用戶(hù)通過(guò)智能手機去打開(kāi)及關(guān)閉車(chē)庫大門(mén)。Veracode發(fā)現,竊賊可能會(huì )入侵這一設備,并通過(guò)該設備了解用戶(hù)的車(chē)庫大門(mén)是打開(kāi)還是關(guān)閉。這將為入室盜竊提供便利。
對于Veracode的發(fā)現,Chamberlain的一名發(fā)言人表示,Veracode測試的產(chǎn)品已經(jīng)“過(guò)時(shí)”。“我們并不同意報告中的一些結論,并將告知Veracode我們的意見(jiàn)。”
另一款引起我注意的產(chǎn)品是Wink Relay。這是一款支持觸控操作的控制器,大小類(lèi)似一個(gè)燈開(kāi)關(guān),可以方便地控制家中的許多智能設備。
這款設備支持谷歌Android系統的多個(gè)版本。Veracode發(fā)現,通過(guò)一款被程序員用來(lái)調試軟件代碼的工具Android Debug Bridge,這一設備的麥克風(fēng)可以被打開(kāi),從而記錄附近的對話(huà),并將錄音下載至攻擊者的計算機。Veracode在報告中指出,Wink已在隨后的軟件升級中禁用了Android Debug Bridge。
在這6款被測試的物聯(lián)網(wǎng)設備中,SmartThings Hub的信息安全問(wèn)題最少。SmartThings Hub是SmartThings平臺的中心,能夠連接傳感器、門(mén)鎖、燈開(kāi)關(guān)、插座、恒溫器,以及其他智能家居產(chǎn)品。這一設備啟用了Telnet服務(wù),可能導致黑客獲得一定的權限。不過(guò),Veracode工程師未能攻破這一設備的其他部分。與Telnet有關(guān)的問(wèn)題可以在設備未來(lái)的軟件更新中得到解決。
Veracode的發(fā)現表明,智能設備廠(chǎng)商應當更謹慎地對待信息安全和隱私保護問(wèn)題。報告稱(chēng):“很明顯,有必要對這些設備的架構以及配套應用進(jìn)行信息安全評估,從而使用戶(hù)的風(fēng)險最小化。”
如果研究一下,未來(lái)幾年內將會(huì )有多少智能設備連接至互聯(lián)網(wǎng),那么信息安全問(wèn)題顯得尤為重要。市場(chǎng)研究公司Gartner的一份報告顯示,到2020年,全球將有約260億個(gè)獨立的智能設備。而Verizon進(jìn)行的另一項研究表明,目前僅企業(yè)用戶(hù)使用的智能設備數量就超過(guò)10億個(gè)。
