物聯網設備生產商亟需考慮產品的安全性

　隨著消費者家中能聯網的家用電器設施越來越多，人們也逐漸開始擔心那些常年在網上胡作非為的黑客們會不會也來惡意控制這些設備，比如遠程打開家門讓小偷進入，調高空調溫度讓人熱醒，惡意沖馬桶浪費水，打開攝像頭進行偷拍等。當然，黑客們能做的遠不止這些。
　　
　　國外調查機構 Trustwave 的安全調查員 Bryan 和 Crowley 在去年得知可以用智能手機遠程控制的門鎖 Lockitron 將上市時，就開始意識到物聯網設備存在的安全問題。雖然當時 Lockitron 還沒有上市，但是市面上已經有了不少可以通過物聯網控制的家用電器，比如說燈泡、馬桶、溫度計等，他們經過測試發現這些產品都存在嚴重的安全漏洞。
　　
　　眾所周知，物聯網現在正在以廉價、普及的姿態往普通消費者家中走去，不少家電廠商生產的家電早就可以通過網絡進行控制和管理，然而就是這個能給消費者帶來便利的“物聯網”卻存在嚴重的問題。根據美國 ABI 調查公司的數據，目前大約有 100 億台可使用無線網絡接入互聯網的設備，到 2020 年，這一數字將達到 300 億。從現在來看，雖然智能手機、平板計算機和筆記本計算機占了絕大部分，但是未來的市場增長領域一定是家庭使用的配備有廉價傳感器的物聯網設備，也就是說，到 2020 年，大部分聯網設備將是物聯網設備。 .
　　
　　小到門鎖、插座，大到電表、馬桶、空調，都可以通過物聯網進行控制，而在黑客眼中，這些都是可以入侵的“好東西”。計算機發展了幾十年，殺毒軟件、防火牆等保護措施都已經發展的非常完善，然而 Crowley 和 Bryan 兩人指出，物聯網設備幾乎沒有采取任何保護措施。他們兩人建議物聯網設備生產商要多花些時間提高設備的安全性，而不是急著推出產品。
　　
　　Crowley 說：“每個產品的安全等級不同，但是都存在一個問題，那就是使用設備不需要任何認證過程。”例如，Crowley 和 Bryan 測試了物聯網中心控制設備 Veralight，在默認設置下，任何人不需要任何用戶名和密碼就可以進入 Veralight 的控制系統中進行操控，即便開啟了安全措施，依舊可以采取多種方式繞過安全認證對家用設備進行控制。最近，Crowley 和 Bryan 發現隨便用一台 Android 智能手機就可以控制入侵 Satis 智能馬桶，讓其不斷沖水，不斷大聲播放音樂。在今年的黑帽安全會議，他們兩人已經將物聯網設備的這些安全漏洞全部曝光。 .
　　
　　Crowley 和 Bryan 兩人在發現了設備的漏洞之後便聯系生產廠家，但是沒有任何一個廠家願意直接承認自己的錯誤。在 Veralight 的答復信件中，Veralight 認為“我們的設備與目前市面上的家庭自動化產品安全系數相同或者更高”。日本智能馬桶 Lixel 廠商則反駁說兩人發現的是特殊情況，智能馬桶必須與手機配對後才能使用。
　　
　　然而在互聯網安全專家眼中，物聯網設備或家用智能設備的安全漏洞可能帶來的風險要比廠商的官方回復更嚴重。如果黑客們發現了遠程門鎖上的一個漏洞，他們就可以在同時入侵所有的此類門鎖。如果同一個樓宇使用的是一個系統的產品，一旦入侵，整棟樓就像超市一樣，小偷想來就來想走就走；而同一個樓盤一般使用的都是同一款產品，那麼整個小區可能就成了菜市場，小偷們如入無人之地。
　　
　　美國華盛頓大學計算機安全與隱私專業副教授 Yoshi Kohno 表示，“很難准確地描述物聯網的漏洞能帶來多麼嚴重的問題。”他也發現了像汽車、醫療設備、玩具等聯網設備的安全漏洞，比如黑客可以入侵一個帶攝像頭的兒童玩具並開啟攝像頭進行偷拍。“別等到出了事再後悔。”

.

　　
　　美國佛吉尼亞大學研究智能住宅的副教授 Kamin Whitehouse 則認為，即便給智能設備增加了安全措施，黑客依舊有“利”可圖。在他的研究中，他發現即便家用智能設備的數據傳輸已經加密過，黑客依舊可以根據分析網絡流量來猜測消費者的日常生活行為，了解消費者的習性。“一旦家中的設備都開始接入網絡，黑客沒有理由不來。”
　　
　　不過在 Crowley 和 Bryan 眼中，物聯網的安全問題會得到積極改善。Lockitron 門鎖的新版已經開始提供更多的安全細節，比如說檢測到非主人使用時會發送電子郵件進行問詢。生產 Lockitron 門鎖的 Apigy 公司說對於 Crowley 提出的安全問題非常重視。Crowley 最後說：“要破解 Lockitron 是一項大工程，雖然依舊可以被破解，但是起碼提高了安全等級。”

【想看更多互聯網新聞和深度報道請關注速途網官方微信。（微信號：速途網）】 .

.