想知道黑客如何看待物聯(lián)網(wǎng)嗎?請想象一下,對于你家中連接至互聯(lián)網(wǎng)的車庫大門,懷有惡意的人會做些什么。
信息安全公司Veracode也在研究這一問題。該公司對6款消費類物聯(lián)網(wǎng)設(shè)備進行了分析,發(fā)現(xiàn)這些設(shè)備存在令人驚訝的安全漏洞。研究報告中直接列出了每款產(chǎn)品的名稱,以及其中一些具體漏洞。惠普去年進行的一項類似研究沒有指名道姓提到具體的設(shè)備,但也得出了類似結(jié)論。因此,如果你計劃在家中安裝各種智能設(shè)備,那么這一問題應(yīng)當(dāng)引起你的關(guān)注。
Veracode于去年12月購買了這些設(shè)備,并于今年1月在實驗室中進行了測試。在測試過程中,研究者監(jiān)控了設(shè)備的數(shù)據(jù)輸入輸出。Veracode發(fā)現(xiàn),大部分這些設(shè)備存在“嚴(yán)重的”信息安全漏洞。“產(chǎn)品制造商對信息安全和隱私保護的關(guān)注還不夠,在設(shè)計時并未優(yōu)先考慮這些問題。這導(dǎo)致用戶有可能遭到信息安全攻擊,或是家中被入侵。”
對于這6款產(chǎn)品,Veracode均聯(lián)系了生產(chǎn)商,告知了Veracode的結(jié)論。這6家公司均對產(chǎn)品漏洞進行了修復(fù)。即便如此,我仍將介紹這一研究中的兩個案例。這兩個案例很有趣,并且略顯棘手。
其中一款產(chǎn)品是Chamberlain的MyQ Garage車庫系統(tǒng)。這一設(shè)備幫助用戶通過智能手機去打開及關(guān)閉車庫大門。Veracode發(fā)現(xiàn),竊賊可能會入侵這一設(shè)備,并通過該設(shè)備了解用戶的車庫大門是打開還是關(guān)閉。這將為入室盜竊提供便利。
對于Veracode的發(fā)現(xiàn),Chamberlain的一名發(fā)言人表示,Veracode測試的產(chǎn)品已經(jīng)“過時”。“我們并不同意報告中的一些結(jié)論,并將告知Veracode我們的意見。”
另一款引起我注意的產(chǎn)品是Wink Relay。這是一款支持觸控操作的控制器,大小類似一個燈開關(guān),可以方便地控制家中的許多智能設(shè)備。
這款設(shè)備支持谷歌Android系統(tǒng)的多個版本。Veracode發(fā)現(xiàn),通過一款被程序員用來調(diào)試軟件代碼的工具Android Debug Bridge,這一設(shè)備的麥克風(fēng)可以被打開,從而記錄附近的對話,并將錄音下載至攻擊者的計算機。Veracode在報告中指出,Wink已在隨后的軟件升級中禁用了Android Debug Bridge。
在這6款被測試的物聯(lián)網(wǎng)設(shè)備中,SmartThings Hub的信息安全問題最少。SmartThings Hub是SmartThings平臺的中心,能夠連接傳感器、門鎖、燈開關(guān)、插座、恒溫器,以及其他智能家居產(chǎn)品。這一設(shè)備啟用了Telnet服務(wù),可能導(dǎo)致黑客獲得一定的權(quán)限。不過,Veracode工程師未能攻破這一設(shè)備的其他部分。與Telnet有關(guān)的問題可以在設(shè)備未來的軟件更新中得到解決。
Veracode的發(fā)現(xiàn)表明,智能設(shè)備廠商應(yīng)當(dāng)更謹(jǐn)慎地對待信息安全和隱私保護問題。報告稱:“很明顯,有必要對這些設(shè)備的架構(gòu)以及配套應(yīng)用進行信息安全評估,從而使用戶的風(fēng)險最小化。”
如果研究一下,未來幾年內(nèi)將會有多少智能設(shè)備連接至互聯(lián)網(wǎng),那么信息安全問題顯得尤為重要。市場研究公司Gartner的一份報告顯示,到2020年,全球?qū)⒂屑s260億個獨立的智能設(shè)備。而Verizon進行的另一項研究表明,目前僅企業(yè)用戶使用的智能設(shè)備數(shù)量就超過10億個。
