说起比尔·盖茨的豪宅——“世外桃源2.0”,想必大家都不会陌生:访客会获得一个内置芯片的胸针以记录个人喜好,例如室内温度、照明亮度、空气湿度、背景音乐等,这些元素会通过传感器与胸针内进行无线交互,而且彼此之间能够做到相互感应。如果访客没有经过认证,那么系统也会识别出来自动报警。物联网之所以被认为是智能化的基础,并非局限于人去控制设备,而是要让物与物发生“化学反应”。
这样看来,盖茨的家应该算是智能家居的终极形态。回顾智能家居的发展,其实早在八十年代就出现了,通过中央控制设备将家里的电器连接起来,实现单向控制,但这种操作最多也只能算是自动化,而不是智能。物联网的背后是硬件、软件、云计算,而产品智能化的核心除了要让每个电器变得聪明,还要让它们能够彼此感知,也就是让“冰箱听懂空调说的话”。
数据显示,到2020年物联网带来的经济附加值将达到1.9万亿美元。根据Metcalfe‘s Law,网络价值和用户数的平方是成正比的,当越来越多的人和智能的物连接在一个网络上,会让整个网络增值。调研机构预计,未来79%的IoT流量将通过网关接入,50%的网络流量将来自物联网,而物联网将贡献超过500亿的连接。NB-IoT大幅降低了连接的功耗和成本,即使是最简单的事物也能提供有价值的物联网服务,对物联网行业的发展是有指数级推动作用的。
可以说,物联网带来的价值不止是管道商的红利,对广告商也有潜在的刺激作用,设备商也能借此大做文章。然而,另一份报告却让大家忧心忡忡:物联网漏洞可能会导致关键基础设施被破坏、竞争情报与知识产权遭窃,甚至DDoS攻击增加后也会瘫痪Dyn DNS系统,导致重要网域瘫痪。这并非危言耸听,早在四年前,惠普的安全部门就在市面热销的10款消费级智能家居产品中,发现了250种安全漏洞,涉及品类众多:电视、电源插座、网络摄像头、门锁、警报器、无所不包。显然,很多制造商急着把产品推向市场,并没有做好防护工作。
想象一下,你在电子卖场购买了智能插座,回家把空调、冰箱、洗衣机都接上了,不一会儿空调自己开了。后来当你把电脑插上去之后,智能插座也连接了网络,路由器的IP地址随即被修改。再之后,你的摄像头、电视…都开始不由自主地工作,这一切并非科幻事件,而是由背后的黑客在控制。更可怕的是,你的个人信息也会随之曝光。
记得在两年前,某家电品牌的智能冰箱系统被白帽子黑客现场攻破,后者成功入侵后实现了对所有家电和家居的控制:家中门窗被打开、电器被任意操控、插座自动断掉、智能家居完全不听使唤。令人不安的是,破解的手段并不复杂,只需要利用智能网关的漏洞绕过监管,直接控制手机APP,就能在无需配对校验的情况下接管所有设备。
听说过黑入网络摄像头监视别人的,还没见过控制吸尘器当监视器的,这不就来了。去年,一群闲来无事的白帽子们通过解析某知名品牌的扫地机器人的UART(通用异步收发传输器),发现了其中的逻辑连接关系,并可利用其访问文件系统。当主进程被控制时,该设备与应用程序之间的通讯代码即被攻破。只要绕过反root和SSL pining机制,黑客就能拦截应用流量,再借助假冒的LG账户进行登录。这种情况屡见不鲜,如果赶上大厂商可以及时软件升级还好说,要是半年不更新一次的恐怕就惨了。
其实不止是APP端的漏洞,集线器总是被集成在传感器中用于控制连接设备。而这种部件的固件可以在网上下载到对应的版本,并且支持对文件内容的修改。有专家曾经测试过,集线器的固件系统采用的DES加密算法很容易被破解,而且通过物理访问的方式会发现含有序列号的核心命令行是通过HTTP发送的,并没有得到严密保障。以config.jar文件为例,其中可能会包括联网设备的登录名和密码,这就足以发起Web端的攻击了。
物联网的风口谁都想抓住,而智能家居的蓝海也让一众配件厂商看到了希望。随着资本市场的疯狂涌入,大家一窝蜂似的搞起了智能设备,但是智能并不等于万能。尤其是在万物互联、智能遍地的今天,黑客并不需要很高的技术门槛。一款名为“Mirai”的恶意软件在短时间内不仅感染了全球数十万台IoT设备,还让亚马逊、Spotify、Twitter等公司瞬间挂掉。
随着物联网承载的个人信息逐渐增多,在人们生活中扮演的角色也越来越重要,如何妥善管理这些智能联网设备就变得非常关键。除了大品牌的智能产品之外,一些小厂商的设备仍停留在“噱头”阶段,只是增加了简单的网络控制功能,往好了说是性价比不高,往坏了说稍微懂点技术就被将其破解,对消费者是不负责任的。
这些不成熟的产品没有经过多层验证,急于上市使得接口防御尚未完善,导致后期打补丁时的难度变高。此外,由于物联网牵扯的技术既有边缘计算、网络通讯,也有信息处理和交互,使得运行过程出错的几率也会增大。对于初创企业来说,往往会迫于资本压力将产品快速推向市场,而不会投入大力气去做安全方案。
综上,如果要让智能家居用着放心,首先要在前端强化硬件防护手段,通过设备可靠性降低风险,例如指纹识别或面部识别;其次,多层加密网络传输通道;另外,在系统层的编码上增加验证流程,保障数据库安全;最后,保持应用端的更新频率,要知道黑客总是会走在你前面。总的来说,构建一套完善的智能家居体系,除了要靠硬件设备商、软件服务商、云计算厂商的合作,还要让资本市场冷静下来谋长远发展,毕竟消费者的利益才是最重要的。
本文摘自:智能家居网