智能家居或成黑客新猎物:可能带来物理伤害
智能家居的“恐怖”一面 文/《财经国家周刊》特约撰稿艾振强 带来方便、高效和舒适生活的智能家居,正在把你变成赤裸裸的“透明人”。 试想一下,不久之后的一天,即便在办公室里,你也可以通过手机实时看到家里的老人和小孩,并与他们聊天互动,发现保姆虐待小孩后第一时间报警;下班回家的路上,你通过终端将家里的空调或暖气打开,热水器烧好洗澡水,电饭锅自动开始煮饭,通过监控电冰箱里的存货,你得知哪些东西该买了;甚至,你还能私人订制一个温馨的生活场景,以庆祝与爱人的结婚纪念日…… 依托强大的物联功能,组建智能家居系统后,用户可以通过手持智能终端(通常是智能手机)上的App直接控制家用设备,自由组合家庭设备,实现最优的物物结合。而且,智能家居内的各种设备相互间也能通讯,即便你不下达指令,它们也能根据环境的变化互动运行,给你带来前所未有的方便、高效和舒适。 可是,慢着,这些只是智能家居供应商宣传的图景,或者对此持强烈乐观态度支持者描绘的美好画面。 现实中可能存在的场景是,你满心欢喜地回到家,却发现空调的温度不是你想要的,小孩像受到恐吓一样蜷缩在角落里,电饭锅里的饭还是生的,水管坏了,冰箱由于切断了电源东西都坏了;你满心沮丧地去找钱准备买些东西回来,却发现现金和值钱的金银首饰都不翼而飞了,但是家里丝毫没有撬动的痕迹;等你焦头烂额地摆平这一切,如期举行了庆典,第二天却收到你忙乱狼狈不堪的图片,还有勒索的信息——如果你不给钱,就把你和你爱人的艳照传到网上! 这并不是危言耸听。技术进步从来都是一把双刃剑,如同锋利的刀,可以用于切菜削水果,也可以用来行凶杀人。智能家居是这个时代亮出的一把锋利的刀。 黑客新猎物 智能家居,一度是人们畅想未来美好生活的重要元素之一,为此,人们已经在这个领域进行了几十年的努力探索。乘着移动互联网的滚滚浪潮,智能家居的时代以前所未有的速度迎面扑来。 为了替补动力已经不再强劲的房地产引擎,国内的开发商纷纷向产业链后端寻找新的机会,而智能家居看起来是个很大的风口。最近,方兴联合腾讯,华远牵手360,小米和正荣联手,瞄准的都是智慧社区这块肥肉,而切入点则是智能家居。 根据华为的报告,2025年全球将有80亿手机用户并将有1000亿终端的连接,其中90%以上将来自各种智能的传感器。而研究公司IDC更乐观,其预计到2020年,将有超过2000亿台设备连入互联网。人类在物理世界对生存四大基本要素(空气、水、食物、阳光)的依赖需求,正在迅速地延伸到数字世界。 未来,联网将变成世界的常态,而不联网将成为独特。由此,过去的持刀抢劫或许将成为特例,而通过互联网入侵每一个家庭无声无息地偷盗则会成为常态。 许多人都知道计算机的安全漏洞被攻击将带来巨大的危害,但对智能家居设备被攻击的危害还缺乏清晰的概念。 索尼公司旗下电影业务“索尼影视娱乐公司”的内部网络遭到黑客攻击,公司内部的财务文档、员工信息,甚至未上映的影片和内部往来邮件均被曝光,使公司蒙受巨大的损失。但是,智能家居设备的安全防御系统一旦被攻破的话,带来的远不止是财产损失,更有可能是直接的物理伤害。 黑客通过攻破防护入侵家庭互联网,将主机感染僵尸程序病毒,可以对用户家里的电视、冰箱、摄像机、空调、洗衣机、智能水表、智能门锁等各种智能设备进行操控。 芝加哥企业数据安全公司Trustwave就曾成功入侵了一台由日本建材和住宅设备巨头骊住(Lixil)生产的机器马桶,能通过蓝牙连接操纵马桶盖的开启和关闭,甚至能让马桶向用户下身喷射水流。 这意味着,未来黑客攻破智能家居系统,恶意将别人的衣服烫坏,打开电磁炉引发火灾等并非耸人听闻。去年,一位WiFi自动调温器的用户,即通过调温器对前女友实施了报复。 另一个著名的案例是控制酒店。西班牙黑客Jesus Molina在深圳的瑞吉酒店住宿期间,找到了房间内的操控系统安全漏洞。通过这些漏洞,他能够控制酒店250多个房间里的温控器、灯光、电视、百叶窗,还有门外的“请勿打扰”电子灯。由于酒店没有对提供给客人的iPad进行认证,黑客还能用笔记本控制其他房间的设备。黑客甚至还可以在iPad上安装木马程序,实现远程遥控。 瑞吉酒店向每个客人提供iPad和电子管家应用,用来控制房间里的各种设施,但是酒店使用的通信协议KNX没有提供加密功能,并不安全,因此很容易使自己成为攻击对象。而这种安全问题并不仅仅存在于吉瑞酒店。目前,许多家用自动化系统也都使用了不安全的KNX协议。 “透明人” 智能家居设备在为用户提供智能化服务的同时,还在源源不断地收集用户的信息数据,这些数据都被存储在供应商的云端,一旦这些海量的数据被“黑”,无数用户家庭的私密空间将完全曝光在黑客的眼前——用户什么时候回家,什么时候吃饭,什么时候离家、什么时候洗澡、什么时候睡觉、有什么兴趣爱好等都将不再是秘密,成为一个赤裸裸的“透明人”。 Nest是科技巨头谷歌斥资32亿美元收购的智能家居品牌,其恒温器可以调节用户的室内灯光,通过与家里安装的传感器联网,可以辨别用户是否在家,同时自动调节最佳室温,保证室内的温度适宜;当用户都不在家的时候,Nest会自动将空调或电暖气调至低能耗档位,从而保证家里全部电器处于节能状态。 然而,它也是一个不折不扣的黑客入口。 在2014年黑帽安全大会上,美国佛罗里达中央大学研究员Buentello现场演示了如何轻而易举地入侵谷歌Nest智能恒温控制器。通过USB设备的接入,用户将上传自己的所有消费密码到这款USB设备上,黑客只要知道正确的引导脚码,就能随意加载自己的软件。 在Buentello入侵的整个过程之中,没有任何“认证链”安全措施出现来认证。而一旦黑客成功加载了自己的软件,此后无论用户进行什么操作,黑客都会得到相应的“同步”,自此黑客将如入无人之境,想干什么都行。 目前,市场上充斥大量的智能家居设备供消费者选择,如三星和LG等具有独立标准的产品,Z-Wave阵营的智能设备,Nest公司的恒温器和烟雾探测器,360的智能摄像机、燃气烟气智能报警器,小米的小蚁摄像机等,标准不一、市场杂乱,让消费者难以有效分辨。 许多企业看到智能家居的巨大市场,都想抢先一步占据先机,由于急于将自己的产品推向市场,在应对攻击方面并没有投入很多资源,因此安全问题十分突出。在一次抽样检测中,应用安全公司Veracode的研究者对6款智能家居设备进行安全测试,结果发现其中5款都存在严重的安全问题。 国家安全隐忧 对于单个用户来说,一旦智能家居被黑客入侵,轻则家居产品的功能失效甚至毁坏,重则隐私数据被盗用,被敲诈勒索或者造成严重的财产损失。而当用户的数量足够庞大以后,它还会上升为国家战略安全的问题。 智能家居的威胁主要有4个,一是目前各企业的协议与技术几乎都是封闭体系,难以互联互通;二是大多智能家居制造商对网络安全的认识不足;三是智能家居制造商通常并不关注数据安全问题;四是硬件厂商在软件和升级方面的能力一般都比较差。 最重要的是,智能家居的智能终端使用的操作系统高度垄断,目前牢牢被苹果的iOS、谷歌的Android和微软的windows phone控制。去年第三季度,Android和iOS的市场占有率就已经超96%。与此同时,中国在2012年一季度的智能手机出货量即已超过美国,位居世界首位,但核心技术却几乎都是别人的,典型的大而不强。 大数据的可视化使得传统资源的概念发生了重大改变,它不再仅仅局限于煤炭、石油、天然气、矿产等自然资源,大数据正成为与自然资源、人力资源一样重要的战略资源,变成了企业新的资源争夺焦点,未来极有可能成为国家竞争力的重要支点。 假如控制智能家居的终端上运行的都是iOS、Android或windows phone操作系统,用户的身份、各种账号、地理位置、联系人、日程安排、重要文件、兴趣爱好……都可以被实时搜集。 如果全国几十上百亿的智能终端用户信息都被同一家操作系统提供商搜集,整个中国的社会活动将彻底透明化。一旦信息安全的马奇诺防线沦陷,那么我们不仅无法借助“互联网+”弯道超车,还可能因此承受不能承受之重。 当然,凡事有利必有弊。智能家居是技术进步推动的必然结果,无法逆转。中国已经将“互联网+”提升至国家战略的高度,将来必然一路高歌猛进。然而,信息安全不仅涉及公民个体,还关乎国家安全。斯诺登曝光美国“棱镜门”计划之后,引发了全球的严重关切,即是最好的佐证。 我国的智能家居提供商和运营商在带着“弯道超车”梦想一路狂奔时,灵魂需要跟上脚步。 |
关键词:智能家居|黑客|带来|物理 |