作者： Sylvie Barak 隨著各種產(chǎn)品和平臺的相繼推出，家居自動化系統(tǒng)也變得越來越智能，互聯(lián)性越來越高。當然隨著更多的智能家居接入網(wǎng)絡(luò)，我們的日常生活也變得越來越方便和高效。然而別人也更加容易的訪問它們，這就出現(xiàn)了安全問題。 圖1：隨著越來越多的智能家居介入網(wǎng)絡(luò)，別人也更加容易侵入它們 盡管智能家居帶來的好處是顯而易見的，但是更重要的是用戶開始意識到它們需要放棄一些東西，那就是數(shù)據(jù)。 人們都知道他們的數(shù)據(jù)是有價值的。不同組織因不同的原因用戶數(shù)據(jù)對于他們來講用途也不盡相同，對用戶的危害也不同，有的讓用戶微微不安，有的讓用戶毛骨悚然，有的則完全影響用戶的人身財產(chǎn)安全。 舉個例子，智能家居平臺在任何時間都會知道哪個家庭成員在家，它會調(diào)節(jié)合適的溫度并且設(shè)置好用戶喜歡的照明風格，但是對于平臺設(shè)備供應(yīng)商而言知道這個數(shù)據(jù)，他們就可以利用這段時間在用戶的智能TV上推廣各種廣告。 先例已將發(fā)生過了，大約10年以前電信公司將家庭的互聯(lián)網(wǎng)使用數(shù)據(jù)（能夠表明有人員在家）出售給電話銷售公司，這樣他們就可以給潛在顧客打電話，在這段時間內(nèi)用戶一般都會接電話?，F(xiàn)在想一想一個全面聯(lián)網(wǎng)的智能家居系統(tǒng)讓各種銷售公司能夠多門簡單及準確的向用戶推銷商品。 三星公司最近承認它們的智能電視會保存你的聊天記錄。真的是令人毛骨悚然，這家公司的小字條款表明其智能電視的語音識別系統(tǒng)不僅會捕捉用戶的私人會話而且還會把數(shù)據(jù)傳送給第三方。按照它的解釋，三星公司說他們使用消費者隱私數(shù)據(jù)“非常嚴謹”，并聲稱它們的所有智能電視都采用工業(yè)標準安全防護和實踐，包括數(shù)據(jù)加密，保護消費者私人信息并且阻止未經(jīng)授權(quán)的信息采集和使用。 當然無論怎樣一些竊賊都能夠侵入智能家居系統(tǒng)，從而知道是否有家庭成員在家，這樣就竊賊就可以選擇合適的時機侵入用戶家庭。 “我們增加的每一個智能家居設(shè)備都相當于增加了另一扇門或者窗戶，沒有合適的安全防護機制，相當于鎖是不存在的?！盓covent公司聯(lián)合創(chuàng)始人Dip Patel說道。Patel首先提出智能家居設(shè)備缺少安全特性，折讓家居所有者很同意收到攻擊，而家居網(wǎng)絡(luò)和設(shè)備就是攻擊的工具。 “如今任何東西都可以很輕松的接入網(wǎng)絡(luò)，但是殘酷的事實是智能設(shè)備安全性差，容易泄露數(shù)據(jù)”，他又說道?！叭魏稳酥灰幸稽c計算機的知識就可以訪問家居網(wǎng)絡(luò)和任何一個設(shè)備” 圖2：當面臨安全問題時智能設(shè)備是無能為力的 Patel指出最近Symantec(美國軟件公司，賽門鐵克)關(guān)于智能家居系統(tǒng)（如智能恒溫器，鎖，燈泡，煙霧探測器，能源管理設(shè)備和中央樞紐）的一項研究調(diào)查結(jié)果“發(fā)人深省”。關(guān)于網(wǎng)絡(luò)互連嵌入式設(shè)備導致的入室搶劫可能性問題的深入研究報告可以在這里找到。 大部分設(shè)備上的安全問題不僅僅是嚴重的缺少，有的時候是完全不存在的。舉個恰當?shù)睦?，Symantec研究發(fā)現(xiàn)有五分之一的設(shè)備不會對通信進行加密，很多設(shè)備在用戶嘗試多次密碼后不會鎖定攻擊者。 Zach Feldman是紐約編程與設(shè)計研究院的聯(lián)合創(chuàng)始人和學術(shù)總監(jiān)，他說道他個人使用了很多智能家居產(chǎn)品。Feldman聲稱盡管他使用的大部分產(chǎn)品安全性都比較好，使用OAuth2驗證來管理訪問控制權(quán)限，所有入站與出站的流量都采用SSL加密，但是一些編程新手調(diào)試他們的設(shè)備并將他們的代碼上傳到網(wǎng)上，暴露了API秘鑰和其他敏感的身份驗證數(shù)據(jù)。如果采用了錯誤的秘鑰，那么一些有趣的異常的情況可能就會發(fā)生。 Feldman繼續(xù)解釋道如果某人找到了他的房間API秘鑰，那么他可能就會被鎖在房間內(nèi)，要么挨熱要么受凍。唯一能組織入侵者的方法只能是撤銷或者改變秘鑰，當然這可能需要一定水平的意識和技術(shù)能力。 Feldman的假設(shè)也不是不無根據(jù)，近期一個Reddit網(wǎng)站的用戶爆料他是怎樣報復(fù)他的前女友，通過控制前女友家里的恒溫器，不斷增加室內(nèi)溫度，當時他的前女友和愛人都不在家，當他們回家后又要降低溫度，這樣他們的電費賬單就增加了。 盡管溫度入侵看似的煩人的但是大多數(shù)情況下是不會造成傷害的，F(xiàn)eldman說智能家居設(shè)備中他最擔心的就是他的“八月智能鎖”被入侵，它是一個物聯(lián)網(wǎng)應(yīng)用鎖。他說道“如果你回到家感覺屋內(nèi)要么過冷要么過熱，你應(yīng)該察覺你的房間被黑客使用正確的API秘鑰入侵了，你可以利用秘鑰分析被黑客入侵的漏洞?！背送馑o入侵自己智能家居組件的人的建議是確保使用環(huán)境變量保存敏感驗證信息，而不是采用硬件加密。\ 這些對于懂技術(shù)的人員來講都很好理解，但是對于那些對技術(shù)知識一點兒也不懂的人來說，難道要建議他們買最新推出和“最偉大的”小發(fā)明已增加用戶家庭成員們的安全感嗎？ 家居科技專家Lisa Hoffman說道，一些大問題的發(fā)生都是因為用戶DIY智能家居系統(tǒng)，用戶安裝攝像頭或者鎖卻忘記了相關(guān)信息?！氨M管制造商給用戶發(fā)送了郵件提醒他們相關(guān)問題，告訴他們安裝更新，他們很忙并沒有進行更新。如果圍欄有個大洞或者門上沒鎖，他們都會修復(fù)它，但是用戶通常不能直觀的看到安全風險的存在，直到一切都太晚了，他們才意識到其問題所在。” 可能最可怕的關(guān)于智能家居設(shè)備出錯的故事就是辛辛那提（美國城市）的一對夫婦家中的嬰兒監(jiān)控攝像頭被入侵了，并且被一個虛擬的入侵者所控制。 圖3：嬰兒監(jiān)控攝像頭被虛擬入侵者控制，并不斷發(fā)出聲音“醒醒，寶貝！” 當時辛辛那提這對夫婦感到非常的無助，半夜他們聽到一個成年男性的聲音從他們女兒的房間里傳出，趕緊沖進去，他們發(fā)現(xiàn)這個攝像頭正朝向他們，而這個“入侵者”叫喊著“醒醒，寶貝”以及一大堆臟話，荒謬的是這個設(shè)備起初是想讓父母放心的他們的孩子的，現(xiàn)在情況卻完全相反。 美國政府已經(jīng)開始關(guān)注這個問題，聯(lián)邦貿(mào)易委員會（FTC）宣稱要更好的進行行業(yè)監(jiān)管，并且新設(shè)置了一個消費者權(quán)益保護部門——技術(shù)研究和調(diào)查辦公室，主要負責監(jiān)督所有智能設(shè)備，從Apple Pay到智能家居。 政府是否能夠跟得上智能設(shè)備推出和更新的步伐還是值得高度懷疑的。 Ashley Schwartau是安全意識公司（SAC）的創(chuàng)意總監(jiān)和生產(chǎn)負責人，他認為智能家居的潛在問題不僅僅是來自惡意入侵的黑客。 “假設(shè)你的所有智能設(shè)備都接入網(wǎng)絡(luò)并且連接上了你的智能手機的App——你可以控制你的照明燈光，音樂，電視TV，AC和網(wǎng)絡(luò)”。聽起來很棒，是不是？，你是控制中心，對不對？當你的手機死機不能響應(yīng)你的命令了怎么辦？這就引出了信號響應(yīng)失敗的問題，這就相當于把所有雞蛋放一個籃子里”，她說道。 所有專家都同意的是如果設(shè)備不合格很容易會被入侵，那么安裝這個智能家居設(shè)備就是沒有必要的，很顯然它不會給用戶帶來方面，反而是各種風險。 很多人相信智能家居的安全問題需要在設(shè)備和系統(tǒng)層進行解決，公司設(shè)計產(chǎn)品和采用云服務(wù)架構(gòu)就需要從一開始就要考慮到安全問題，而不是出現(xiàn)問題后再去補救。 Hoffman說道避免被入侵的最好方式就是擁有一個安全的網(wǎng)絡(luò)系統(tǒng)，雇一個專門的負責人員，既要懂技術(shù)又要有較高的道德品質(zhì)。IT網(wǎng)絡(luò)是智能家居的基礎(chǔ)，如果網(wǎng)絡(luò)都妥協(xié)了，那么自動化也就跟著妥協(xié)了。 (mbbeetchina)