安全问题笼罩着家庭自动化和物联网的未来
家庭自动化恐怖故事
展望未来,我们所有设备、小工具和小玩意都会联网,并相互通信,我们将进入效率和便利的新黄金时代。但问题是:当你的冰箱、温控器或者家庭安全摄像头连接到网络后,它们会像电脑一样容易受到攻击,发生故障或中断。
事实上,智能家居设备比传统计算设备(例如电脑、笔记本、手机或平板电脑)更容易受到攻击和破坏。因为网络安全行业在最近才开始投入资源到这场战斗,黑客不免占了上风。谁将修复和更新所有这些设备?本文中,我们将看看一些最近发生的真实的家庭自动化恐怖故事。
变得越来越热
在网络中,你会看到很多关于连接Wi-Fi的温控器的危险证据。联网温控器背后的想法是,让你在离开家后调节家里的加热和冷却。但如果攻击者入侵,事情将变得异常糟糕。
去年,霍尼韦尔的智能温控系统成为新闻头条。这个故事中,心怀不满的前夫报复其前妻,以及她新同居的男友,远程控制着他以前家里的温控器。“当他们周末外出度假时,我将温度提升到80度,并在他们到家前调回到40度,我可以想象这会是非常高额的电费。”
不管这样的做法是否合法,都表明联网家庭技术的潜在风险。
锁上你的门和温控器
当然,安全行业也在关注这些问题。
Nest Labs公司(去年被谷歌收购)有一个专门的工程团队专注于对其温控系统的安全威胁。该公司在其网站提供了安全策略和常见问题页面,并鼓励安全研究人员挖掘其中的漏洞。
几个月前,安全公司TrapX确实这样做了,他们发布了一项研究,其中工程师能够访问存储在Nest温控器中的数据。随后该温控器被用作“跳板”来获取家中其他联网设备的控制权限。这个数据泄露事故需要物理地访问Nest温控器(特别是USB接口),并没有证据证明发生过这样的攻击。
但TrapX坚信,这种威胁可能存在,例如,有人购买二手Nest温控器或攻击者确实可以物理地访问设备。
攻击婴儿监视器
这对于家长来说是个噩梦。2014年4月,Heather Schreck正在家里睡觉,突然她听到一个男人在朝其隔壁房间10个月的女儿叫喊的声音。当Heather和她丈夫走进房间时,他们发现有人入侵了他们的联网婴儿监视器,并朝婴儿大喊大叫。
其中还有个特别令人不寒而栗的细节,该婴儿监视器甚至移动了,摄像头慢慢转向这对夫妇,多么令人毛骨悚然!随后,这个售价200美元的婴儿监视器的制造商Foscam公司称,以前还没有发生过类似的事件。Foscam建议保持该设备固件的更新。
易受攻击的摄像头
对家庭安全摄像头的攻击是家庭自动化中最可怕的事件之一。去年,数据安全报告称,TRENDnet流媒体IP摄像头中的安全漏洞允许攻击者偷窥家庭和办公室。如果这个漏洞被公开,这可能引发广泛传播。
在随后的报道中,数百张家庭图片被贴到网上,突出了这个令人不安的问题。照片甚至客厅、厨房、家庭办公室等的视频都开始出现在网站和论坛,试图暴露这个问题以更快出现补救措施。有人甚至创建了一个互动谷歌地图,贴出每个有漏洞IP摄像头的实际位置,该地图迅速被关闭,但这说明智能家居中的摄像头可能很快被攻击。
破门而入
在2013年,福布斯作家Kashmir Hil发表了一篇非常可怕的关于入侵虚拟家庭的文章,其中她自己是黑客。在发现Insteon家庭自动化系统中的安全漏洞后,Hill能够通过简单的搜索引擎查询访问8个不同的家庭。这种搜索发现智能家居接入点甚至没有受到简单密码的保护。
Hill发现她可以开灯和关灯,还可以操作家庭自动化系统,远程控制电视机、照相机、水泵、风扇甚至热水浴缸。“我能够通过点击链接,让这些人的家变成鬼屋、能耗噩梦或者抢劫目标,”Hill写道,“打开车库门可能让房子遭遇实际的物理入侵。”Insteon回应称,有问题的产品已经停产,安全问题随后已经得到解决。
冲厕所问题
所有去过东京的人会告诉你,在“厕所”这个具体的家电技术领域日本领先于其他国家多年。这不是开玩笑,日本人非常重视他们的入厕体验。据估计,约70%的日本家庭都有所谓的增强型厕所,具有加热座椅、远程控制功能以及坐浴盆功能。而只有约30%的日本家庭有洗碗机。
那么问题来了:攻击者是否可能控制你的厕所?安全公司Trustwave表示,答案是肯定的。该公司在多年前发布了关于连接蓝牙的Satis厕所的公告。Satis厕所具有Android应用程序,让你坐在马桶上时,可以触发浴盆和干燥选项(+本站微信networkworldweixin),或者播放自定义音乐列表。
Trustwave的公告显示:“攻击者可以直接下载My Satis应用程序,并用它来反复冲洗马桶,提高水使用量,从而增加水费。攻击者还可以反复打开关闭盖子,激活坐盆或风干功能,给用户造成不适或痛苦。是的,这将令人头疼。”
攻击者瞄准冰箱
“僵尸网络”的术语通常被用来指这样的攻击,即无辜的计算机被劫持用于发送垃圾邮件或发动拒绝服务攻击。传统上,攻击者会瞄准有针对性的电脑、笔记本或平板电脑,但随着物联网的发展,攻击者的目标将会转移。
在去年一月份,安全服务Proofpoint发布了一份报告探讨了他们发现的第一个可行的基于IoT的网络攻击,其中涉及传统的家庭智能家电。该攻击活动利用了超过10万台日常消费电器的计算能力,包括联网家庭影院系统、电视、家庭网络路由器以及智能冰箱。该攻击涉及大量恶意电子邮件―瞄准全世界的企业和个人。在报告中,Proofpoint警告称,这种僵尸网络可能更加流行,因为IoT设备通常没有受到很好的保护,并比电脑更容易感染。
坏灯泡带来的严重后果
家庭自动化恐怖故事并不总是涉及恶意黑客或者偷窥。有时候,可怕的事情可能只是意外。例如一个烧坏的灯泡。
几年前,计算机科学教授Raul Rojas在其两层楼的房子配备了非常先进的自动化系统。Rojas专门从事机器人技术和人工智能研究,所以他的智能家庭有机器人在家里巡逻、吸尘甚至修剪草坪。所有Rojas的家电都是联网,灯、电视、灶具、微波炉和中央空调系统都可以远程控制。
这一切都非常好,直到有一天,Rojas回到家发现整个房子基本被冻结了。在经过一番调查后,Rojas发现一个烧坏的灯具不断发送数据包到网络的中心枢纽,请求修复。这也是一种拒绝服务攻击,这说明智能家居可能自己玩完自己。
未来恐怖故事
可以肯定的是,未来还会发生更多可怕的故事。物联网还处于起步阶段,智能家居才刚刚开始。对于我们大多数人来说,只有计算机和手机联网了。当一切事物都连接到互联网时,例如我们的汽车、家电甚至衣服,前景可能变得非常可怕。