黑客眼的物聯(lián)網(wǎng):安全成大問題
發(fā)布時(shí)間:2015-04-08想知道黑客如何看待物聯(lián)網(wǎng)嗎?請(qǐng)想象一下,,對(duì)于你家中連接至互聯(lián)網(wǎng)的車庫(kù)大門,懷有惡意的人會(huì)做些什么,。
信息安全公司Veracode也在研究這一問題,。該公司對(duì)6款消費(fèi)類物聯(lián)網(wǎng)設(shè)備進(jìn)行了分析,發(fā)現(xiàn)這些設(shè)備存在令人驚訝的安全漏洞,。研究報(bào)告中直接列出了每款產(chǎn)品的名稱,,以及其中一些具體漏洞?;萜杖ツ赀M(jìn)行的一項(xiàng)類似研究沒有指名道姓提到具體的設(shè)備,,但也得出了類似結(jié)論。因此,,如果你計(jì)劃在家中安裝各種智能設(shè)備,,那么這一問題應(yīng)當(dāng)引起你的關(guān)注。
Veracode于去年12月購(gòu)買了這些設(shè)備,,并于今年1月在實(shí)驗(yàn)室中進(jìn)行了測(cè)試,。在測(cè)試過程中,研究者監(jiān)控了設(shè)備的數(shù)據(jù)輸入輸出,。Veracode發(fā)現(xiàn),,大部分這些設(shè)備存在“嚴(yán)重的”信息安全漏洞?!爱a(chǎn)品制造商對(duì)信息安全和隱私保護(hù)的關(guān)注還不夠,,在設(shè)計(jì)時(shí)并未優(yōu)先考慮這些問題。這導(dǎo)致用戶有可能遭到信息安全攻擊,,或是家中被入侵,。”
對(duì)于這6款產(chǎn)品,,Veracode均聯(lián)系了生產(chǎn)商,,告知了Veracode的結(jié)論,。這6家公司均對(duì)產(chǎn)品漏洞進(jìn)行了修復(fù)。即便如此,,我仍將介紹這一研究中的兩個(gè)案例,。這兩個(gè)案例很有趣,并且略顯棘手,。
其中一款產(chǎn)品是Chamberlain的MyQ Garage車庫(kù)系統(tǒng),。這一設(shè)備幫助用戶通過智能手機(jī)去打開及關(guān)閉車庫(kù)大門。Veracode發(fā)現(xiàn),,竊賊可能會(huì)入侵這一設(shè)備,,并通過該設(shè)備了解用戶的車庫(kù)大門是打開還是關(guān)閉。這將為入室盜竊提供便利,。
對(duì)于Veracode的發(fā)現(xiàn),,Chamberlain的一名發(fā)言人表示,Veracode測(cè)試的產(chǎn)品已經(jīng)“過時(shí)”,?!拔覀儾⒉煌鈭?bào)告中的一些結(jié)論,并將告知Veracode我們的意見,?!?/span>
另一款引起我注意的產(chǎn)品是Wink Relay。這是一款支持觸控操作的控制器,,大小類似一個(gè)燈開關(guān),,可以方便地控制家中的許多智能設(shè)備。
這款設(shè)備支持谷歌Android系統(tǒng)的多個(gè)版本,。Veracode發(fā)現(xiàn),,通過一款被程序員用來調(diào)試軟件代碼的工具Android Debug Bridge,這一設(shè)備的麥克風(fēng)可以被打開,,從而記錄附近的對(duì)話,,并將錄音下載至攻擊者的計(jì)算機(jī)。Veracode在報(bào)告中指出,,Wink已在隨后的軟件升級(jí)中禁用了Android Debug Bridge,。
在這6款被測(cè)試的物聯(lián)網(wǎng)設(shè)備中,SmartThings Hub的信息安全問題最少,。SmartThings Hub是SmartThings平臺(tái)的中心,,能夠連接傳感器、門鎖,、燈開關(guān),、插座、恒溫器,,以及其他智能家居產(chǎn)品,。這一設(shè)備啟用了Telnet服務(wù),,可能導(dǎo)致黑客獲得一定的權(quán)限。不過,,Veracode工程師未能攻破這一設(shè)備的其他部分,。與Telnet有關(guān)的問題可以在設(shè)備未來的軟件更新中得到解決。
Veracode的發(fā)現(xiàn)表明,,智能設(shè)備廠商應(yīng)當(dāng)更謹(jǐn)慎地對(duì)待信息安全和隱私保護(hù)問題,。報(bào)告稱:“很明顯,有必要對(duì)這些設(shè)備的架構(gòu)以及配套應(yīng)用進(jìn)行信息安全評(píng)估,,從而使用戶的風(fēng)險(xiǎn)最小化?!?/span>
如果研究一下,,未來幾年內(nèi)將會(huì)有多少智能設(shè)備連接至互聯(lián)網(wǎng),那么信息安全問題顯得尤為重要,。市場(chǎng)研究公司Gartner的一份報(bào)告顯示,,到2020年,全球?qū)⒂屑s260億個(gè)獨(dú)立的智能設(shè)備,。而Verizon進(jìn)行的另一項(xiàng)研究表明,,目前僅企業(yè)用戶使用的智能設(shè)備數(shù)量就超過10億個(gè)。
