黑客眼的物聯(lián)網(wǎng):安全成大問題
發(fā)布時間:2015-04-08想知道黑客如何看待物聯(lián)網(wǎng)嗎?請想象一下,對于你家中連接至互聯(lián)網(wǎng)的車庫大門,,懷有惡意的人會做些什么,。
信息安全公司Veracode也在研究這一問題。該公司對6款消費類物聯(lián)網(wǎng)設(shè)備進(jìn)行了分析,,發(fā)現(xiàn)這些設(shè)備存在令人驚訝的安全漏洞,。研究報告中直接列出了每款產(chǎn)品的名稱,以及其中一些具體漏洞,?;萜杖ツ赀M(jìn)行的一項類似研究沒有指名道姓提到具體的設(shè)備,但也得出了類似結(jié)論,。因此,,如果你計劃在家中安裝各種智能設(shè)備,那么這一問題應(yīng)當(dāng)引起你的關(guān)注,。
Veracode于去年12月購買了這些設(shè)備,,并于今年1月在實驗室中進(jìn)行了測試,。在測試過程中,研究者監(jiān)控了設(shè)備的數(shù)據(jù)輸入輸出,。Veracode發(fā)現(xiàn),,大部分這些設(shè)備存在“嚴(yán)重的”信息安全漏洞?!爱a(chǎn)品制造商對信息安全和隱私保護(hù)的關(guān)注還不夠,,在設(shè)計時并未優(yōu)先考慮這些問題。這導(dǎo)致用戶有可能遭到信息安全攻擊,,或是家中被入侵,。”
對于這6款產(chǎn)品,,Veracode均聯(lián)系了生產(chǎn)商,,告知了Veracode的結(jié)論。這6家公司均對產(chǎn)品漏洞進(jìn)行了修復(fù),。即便如此,,我仍將介紹這一研究中的兩個案例。這兩個案例很有趣,,并且略顯棘手,。
其中一款產(chǎn)品是Chamberlain的MyQ Garage車庫系統(tǒng)。這一設(shè)備幫助用戶通過智能手機去打開及關(guān)閉車庫大門,。Veracode發(fā)現(xiàn),,竊賊可能會入侵這一設(shè)備,并通過該設(shè)備了解用戶的車庫大門是打開還是關(guān)閉,。這將為入室盜竊提供便利,。
對于Veracode的發(fā)現(xiàn),Chamberlain的一名發(fā)言人表示,,Veracode測試的產(chǎn)品已經(jīng)“過時”,。“我們并不同意報告中的一些結(jié)論,,并將告知Veracode我們的意見,。”
另一款引起我注意的產(chǎn)品是Wink Relay,。這是一款支持觸控操作的控制器,,大小類似一個燈開關(guān),可以方便地控制家中的許多智能設(shè)備,。
這款設(shè)備支持谷歌Android系統(tǒng)的多個版本,。Veracode發(fā)現(xiàn),通過一款被程序員用來調(diào)試軟件代碼的工具Android Debug Bridge,這一設(shè)備的麥克風(fēng)可以被打開,,從而記錄附近的對話,,并將錄音下載至攻擊者的計算機。Veracode在報告中指出,,Wink已在隨后的軟件升級中禁用了Android Debug Bridge,。
在這6款被測試的物聯(lián)網(wǎng)設(shè)備中,SmartThings Hub的信息安全問題最少,。SmartThings Hub是SmartThings平臺的中心,,能夠連接傳感器、門鎖,、燈開關(guān),、插座、恒溫器,,以及其他智能家居產(chǎn)品,。這一設(shè)備啟用了Telnet服務(wù),可能導(dǎo)致黑客獲得一定的權(quán)限,。不過,,Veracode工程師未能攻破這一設(shè)備的其他部分。與Telnet有關(guān)的問題可以在設(shè)備未來的軟件更新中得到解決,。
Veracode的發(fā)現(xiàn)表明,智能設(shè)備廠商應(yīng)當(dāng)更謹(jǐn)慎地對待信息安全和隱私保護(hù)問題,。報告稱:“很明顯,,有必要對這些設(shè)備的架構(gòu)以及配套應(yīng)用進(jìn)行信息安全評估,從而使用戶的風(fēng)險最小化,?!?/span>
如果研究一下,未來幾年內(nèi)將會有多少智能設(shè)備連接至互聯(lián)網(wǎng),,那么信息安全問題顯得尤為重要,。市場研究公司Gartner的一份報告顯示,到2020年,,全球?qū)⒂屑s260億個獨立的智能設(shè)備,。而Verizon進(jìn)行的另一項研究表明,目前僅企業(yè)用戶使用的智能設(shè)備數(shù)量就超過10億個,。
