作者： Sylvie Barak 隨著各種產(chǎn)品和平臺(tái)的相繼推出，家居自動(dòng)化系統(tǒng)也變得越來越智能，互聯(lián)性越來越高。當(dāng)然隨著更多的智能家居接入網(wǎng)絡(luò)，我們的日常生活也變得越來越方便和高效。然而別人也更加容易的訪問它們，這就出現(xiàn)了安全問題。 圖1：隨著越來越多的智能家居介入網(wǎng)絡(luò)，別人也更加容易侵入它們 盡管智能家居帶來的好處是顯而易見的，但是更重要的是用戶開始意識(shí)到它們需要放棄一些東西，那就是數(shù)據(jù)。 人們都知道他們的數(shù)據(jù)是有價(jià)值的。不同組織因不同的原因用戶數(shù)據(jù)對(duì)于他們來講用途也不盡相同，對(duì)用戶的危害也不同，有的讓用戶微微不安，有的讓用戶毛骨悚然，有的則完全影響用戶的人身財(cái)產(chǎn)安全。 舉個(gè)例子，智能家居平臺(tái)在任何時(shí)間都會(huì)知道哪個(gè)家庭成員在家，它會(huì)調(diào)節(jié)合適的溫度并且設(shè)置好用戶喜歡的照明風(fēng)格，但是對(duì)于平臺(tái)設(shè)備供應(yīng)商而言知道這個(gè)數(shù)據(jù)，他們就可以利用這段時(shí)間在用戶的智能TV上推廣各種廣告。 先例已將發(fā)生過了，大約10年以前電信公司將家庭的互聯(lián)網(wǎng)使用數(shù)據(jù)（能夠表明有人員在家）出售給電話銷售公司，這樣他們就可以給潛在顧客打電話，在這段時(shí)間內(nèi)用戶一般都會(huì)接電話?，F(xiàn)在想一想一個(gè)全面聯(lián)網(wǎng)的智能家居系統(tǒng)讓各種銷售公司能夠多門簡(jiǎn)單及準(zhǔn)確的向用戶推銷商品。 三星公司最近承認(rèn)它們的智能電視會(huì)保存你的聊天記錄。真的是令人毛骨悚然，這家公司的小字條款表明其智能電視的語音識(shí)別系統(tǒng)不僅會(huì)捕捉用戶的私人會(huì)話而且還會(huì)把數(shù)據(jù)傳送給第三方。按照它的解釋，三星公司說他們使用消費(fèi)者隱私數(shù)據(jù)“非常嚴(yán)謹(jǐn)”，并聲稱它們的所有智能電視都采用工業(yè)標(biāo)準(zhǔn)安全防護(hù)和實(shí)踐，包括數(shù)據(jù)加密，保護(hù)消費(fèi)者私人信息并且阻止未經(jīng)授權(quán)的信息采集和使用。 當(dāng)然無論怎樣一些竊賊都能夠侵入智能家居系統(tǒng)，從而知道是否有家庭成員在家，這樣就竊賊就可以選擇合適的時(shí)機(jī)侵入用戶家庭。 “我們?cè)黾拥拿恳粋€(gè)智能家居設(shè)備都相當(dāng)于增加了另一扇門或者窗戶，沒有合適的安全防護(hù)機(jī)制，相當(dāng)于鎖是不存在的。”Ecovent公司聯(lián)合創(chuàng)始人Dip Patel說道。Patel首先提出智能家居設(shè)備缺少安全特性，折讓家居所有者很同意收到攻擊，而家居網(wǎng)絡(luò)和設(shè)備就是攻擊的工具。 “如今任何東西都可以很輕松的接入網(wǎng)絡(luò)，但是殘酷的事實(shí)是智能設(shè)備安全性差，容易泄露數(shù)據(jù)”，他又說道?！叭魏稳酥灰幸稽c(diǎn)計(jì)算機(jī)的知識(shí)就可以訪問家居網(wǎng)絡(luò)和任何一個(gè)設(shè)備” 圖2：當(dāng)面臨安全問題時(shí)智能設(shè)備是無能為力的 Patel指出最近Symantec(美國(guó)軟件公司，賽門鐵克)關(guān)于智能家居系統(tǒng)（如智能恒溫器，鎖，燈泡，煙霧探測(cè)器，能源管理設(shè)備和中央樞紐）的一項(xiàng)研究調(diào)查結(jié)果“發(fā)人深省”。關(guān)于網(wǎng)絡(luò)互連嵌入式設(shè)備導(dǎo)致的入室搶劫可能性問題的深入研究報(bào)告可以在這里找到。 大部分設(shè)備上的安全問題不僅僅是嚴(yán)重的缺少，有的時(shí)候是完全不存在的。舉個(gè)恰當(dāng)?shù)睦?，Symantec研究發(fā)現(xiàn)有五分之一的設(shè)備不會(huì)對(duì)通信進(jìn)行加密，很多設(shè)備在用戶嘗試多次密碼后不會(huì)鎖定攻擊者。 Zach Feldman是紐約編程與設(shè)計(jì)研究院的聯(lián)合創(chuàng)始人和學(xué)術(shù)總監(jiān)，他說道他個(gè)人使用了很多智能家居產(chǎn)品。Feldman聲稱盡管他使用的大部分產(chǎn)品安全性都比較好，使用OAuth2驗(yàn)證來管理訪問控制權(quán)限，所有入站與出站的流量都采用SSL加密，但是一些編程新手調(diào)試他們的設(shè)備并將他們的代碼上傳到網(wǎng)上，暴露了API秘鑰和其他敏感的身份驗(yàn)證數(shù)據(jù)。如果采用了錯(cuò)誤的秘鑰，那么一些有趣的異常的情況可能就會(huì)發(fā)生。 Feldman繼續(xù)解釋道如果某人找到了他的房間API秘鑰，那么他可能就會(huì)被鎖在房間內(nèi)，要么挨熱要么受凍。唯一能組織入侵者的方法只能是撤銷或者改變秘鑰，當(dāng)然這可能需要一定水平的意識(shí)和技術(shù)能力。 Feldman的假設(shè)也不是不無根據(jù)，近期一個(gè)Reddit網(wǎng)站的用戶爆料他是怎樣報(bào)復(fù)他的前女友，通過控制前女友家里的恒溫器，不斷增加室內(nèi)溫度，當(dāng)時(shí)他的前女友和愛人都不在家，當(dāng)他們回家后又要降低溫度，這樣他們的電費(fèi)賬單就增加了。 盡管溫度入侵看似的煩人的但是大多數(shù)情況下是不會(huì)造成傷害的，F(xiàn)eldman說智能家居設(shè)備中他最擔(dān)心的就是他的“八月智能鎖”被入侵，它是一個(gè)物聯(lián)網(wǎng)應(yīng)用鎖。他說道“如果你回到家感覺屋內(nèi)要么過冷要么過熱，你應(yīng)該察覺你的房間被黑客使用正確的API秘鑰入侵了，你可以利用秘鑰分析被黑客入侵的漏洞?！背送馑o入侵自己智能家居組件的人的建議是確保使用環(huán)境變量保存敏感驗(yàn)證信息，而不是采用硬件加密。\ 這些對(duì)于懂技術(shù)的人員來講都很好理解，但是對(duì)于那些對(duì)技術(shù)知識(shí)一點(diǎn)兒也不懂的人來說，難道要建議他們買最新推出和“最偉大的”小發(fā)明已增加用戶家庭成員們的安全感嗎？ 家居科技專家Lisa Hoffman說道，一些大問題的發(fā)生都是因?yàn)橛脩?a target='_blank' class='arckwlink_none'>DIY智能家居系統(tǒng)，用戶安裝攝像頭或者鎖卻忘記了相關(guān)信息?！氨M管制造商給用戶發(fā)送了郵件提醒他們相關(guān)問題，告訴他們安裝更新，他們很忙并沒有進(jìn)行更新。如果圍欄有個(gè)大洞或者門上沒鎖，他們都會(huì)修復(fù)它，但是用戶通常不能直觀的看到安全風(fēng)險(xiǎn)的存在，直到一切都太晚了，他們才意識(shí)到其問題所在。” 可能最可怕的關(guān)于智能家居設(shè)備出錯(cuò)的故事就是辛辛那提（美國(guó)城市）的一對(duì)夫婦家中的嬰兒監(jiān)控?cái)z像頭被入侵了，并且被一個(gè)虛擬的入侵者所控制。 圖3：嬰兒監(jiān)控?cái)z像頭被虛擬入侵者控制，并不斷發(fā)出聲音“醒醒，寶貝！” 當(dāng)時(shí)辛辛那提這對(duì)夫婦感到非常的無助，半夜他們聽到一個(gè)成年男性的聲音從他們女兒的房間里傳出，趕緊沖進(jìn)去，他們發(fā)現(xiàn)這個(gè)攝像頭正朝向他們，而這個(gè)“入侵者”叫喊著“醒醒，寶貝”以及一大堆臟話，荒謬的是這個(gè)設(shè)備起初是想讓父母放心的他們的孩子的，現(xiàn)在情況卻完全相反。 美國(guó)政府已經(jīng)開始關(guān)注這個(gè)問題，聯(lián)邦貿(mào)易委員會(huì)（FTC）宣稱要更好的進(jìn)行行業(yè)監(jiān)管，并且新設(shè)置了一個(gè)消費(fèi)者權(quán)益保護(hù)部門——技術(shù)研究和調(diào)查辦公室，主要負(fù)責(zé)監(jiān)督所有智能設(shè)備，從Apple Pay到智能家居。 政府是否能夠跟得上智能設(shè)備推出和更新的步伐還是值得高度懷疑的。 Ashley Schwartau是安全意識(shí)公司（SAC）的創(chuàng)意總監(jiān)和生產(chǎn)負(fù)責(zé)人，他認(rèn)為智能家居的潛在問題不僅僅是來自惡意入侵的黑客。 “假設(shè)你的所有智能設(shè)備都接入網(wǎng)絡(luò)并且連接上了你的智能手機(jī)的App——你可以控制你的照明燈光，音樂，電視TV，AC和網(wǎng)絡(luò)”。聽起來很棒，是不是？，你是控制中心，對(duì)不對(duì)？當(dāng)你的手機(jī)死機(jī)不能響應(yīng)你的命令了怎么辦？這就引出了信號(hào)響應(yīng)失敗的問題，這就相當(dāng)于把所有雞蛋放一個(gè)籃子里”，她說道。 所有專家都同意的是如果設(shè)備不合格很容易會(huì)被入侵，那么安裝這個(gè)智能家居設(shè)備就是沒有必要的，很顯然它不會(huì)給用戶帶來方面，反而是各種風(fēng)險(xiǎn)。 很多人相信智能家居的安全問題需要在設(shè)備和系統(tǒng)層進(jìn)行解決，公司設(shè)計(jì)產(chǎn)品和采用云服務(wù)架構(gòu)就需要從一開始就要考慮到安全問題，而不是出現(xiàn)問題后再去補(bǔ)救。 Hoffman說道避免被入侵的最好方式就是擁有一個(gè)安全的網(wǎng)絡(luò)系統(tǒng)，雇一個(gè)專門的負(fù)責(zé)人員，既要懂技術(shù)又要有較高的道德品質(zhì)。IT網(wǎng)絡(luò)是智能家居的基礎(chǔ)，如果網(wǎng)絡(luò)都妥協(xié)了，那么自動(dòng)化也就跟著妥協(xié)了。 (mbbeetchina)