黑客眼的物聯(lián)網(wǎng)：安全成大問(wèn)題

想知道黑客如何看待物聯(lián)網(wǎng)嗎?請(qǐng)想象一下，對(duì)于你家中連接至互聯(lián)網(wǎng)的車庫(kù)大門(mén)，懷有惡意的人會(huì)做些什么。

信息安全公司Veracode也在研究這一問(wèn)題。該公司對(duì)6款消費(fèi)類物聯(lián)網(wǎng)設(shè)備進(jìn)行了分析，發(fā)現(xiàn)這些設(shè)備存在令人驚訝的安全漏洞。研究報(bào)告中直接列出了每款產(chǎn)品的名稱，以及其中一些具體漏洞?；萜杖ツ赀M(jìn)行的一項(xiàng)類似研究沒(méi)有指名道姓提到具體的設(shè)備，但也得出了類似結(jié)論。因此，如果你計(jì)劃在家中安裝各種智能設(shè)備，那么這一問(wèn)題應(yīng)當(dāng)引起你的關(guān)注。

Veracode于去年12月購(gòu)買(mǎi)了這些設(shè)備，并于今年1月在實(shí)驗(yàn)室中進(jìn)行了測(cè)試。在測(cè)試過(guò)程中，研究者監(jiān)控了設(shè)備的數(shù)據(jù)輸入輸出。Veracode發(fā)現(xiàn)，大部分這些設(shè)備存在“嚴(yán)重的”信息安全漏洞。“產(chǎn)品制造商對(duì)信息安全和隱私保護(hù)的關(guān)注還不夠，在設(shè)計(jì)時(shí)并未優(yōu)先考慮這些問(wèn)題。這導(dǎo)致用戶有可能遭到信息安全攻擊，或是家中被入侵?！?/span>

對(duì)于這6款產(chǎn)品，Veracode均聯(lián)系了生產(chǎn)商，告知了Veracode的結(jié)論。這6家公司均對(duì)產(chǎn)品漏洞進(jìn)行了修復(fù)。即便如此，我仍將介紹這一研究中的兩個(gè)案例。這兩個(gè)案例很有趣，并且略顯棘手。

其中一款產(chǎn)品是Chamberlain的MyQ Garage車庫(kù)系統(tǒng)。這一設(shè)備幫助用戶通過(guò)智能手機(jī)去打開(kāi)及關(guān)閉車庫(kù)大門(mén)。Veracode發(fā)現(xiàn)，竊賊可能會(huì)入侵這一設(shè)備，并通過(guò)該設(shè)備了解用戶的車庫(kù)大門(mén)是打開(kāi)還是關(guān)閉。這將為入室盜竊提供便利。

對(duì)于Veracode的發(fā)現(xiàn)，Chamberlain的一名發(fā)言人表示，Veracode測(cè)試的產(chǎn)品已經(jīng)“過(guò)時(shí)”。“我們并不同意報(bào)告中的一些結(jié)論，并將告知Veracode我們的意見(jiàn)?！?/span>

另一款引起我注意的產(chǎn)品是Wink Relay。這是一款支持觸控操作的控制器，大小類似一個(gè)燈開(kāi)關(guān)，可以方便地控制家中的許多智能設(shè)備。

這款設(shè)備支持谷歌Android系統(tǒng)的多個(gè)版本。Veracode發(fā)現(xiàn)，通過(guò)一款被程序員用來(lái)調(diào)試軟件代碼的工具Android Debug Bridge，這一設(shè)備的麥克風(fēng)可以被打開(kāi)，從而記錄附近的對(duì)話，并將錄音下載至攻擊者的計(jì)算機(jī)。Veracode在報(bào)告中指出，Wink已在隨后的軟件升級(jí)中禁用了Android Debug Bridge。

在這6款被測(cè)試的物聯(lián)網(wǎng)設(shè)備中，SmartThings Hub的信息安全問(wèn)題最少。SmartThings Hub是SmartThings平臺(tái)的中心，能夠連接傳感器、門(mén)鎖、燈開(kāi)關(guān)、插座、恒溫器，以及其他智能家居產(chǎn)品。這一設(shè)備啟用了Telnet服務(wù)，可能導(dǎo)致黑客獲得一定的權(quán)限。不過(guò)，Veracode工程師未能攻破這一設(shè)備的其他部分。與Telnet有關(guān)的問(wèn)題可以在設(shè)備未來(lái)的軟件更新中得到解決。

Veracode的發(fā)現(xiàn)表明，智能設(shè)備廠商應(yīng)當(dāng)更謹(jǐn)慎地對(duì)待信息安全和隱私保護(hù)問(wèn)題。報(bào)告稱：“很明顯，有必要對(duì)這些設(shè)備的架構(gòu)以及配套應(yīng)用進(jìn)行信息安全評(píng)估，從而使用戶的風(fēng)險(xiǎn)最小化?！?/span>

如果研究一下，未來(lái)幾年內(nèi)將會(huì)有多少智能設(shè)備連接至互聯(lián)網(wǎng)，那么信息安全問(wèn)題顯得尤為重要。市場(chǎng)研究公司Gartner的一份報(bào)告顯示，到2020年，全球?qū)⒂屑s260億個(gè)獨(dú)立的智能設(shè)備。而Verizon進(jìn)行的另一項(xiàng)研究表明，目前僅企業(yè)用戶使用的智能設(shè)備數(shù)量就超過(guò)10億個(gè)。