如今，人们很难找到没有智能手机应用程序的联网设备。事实上，现代设备将大部分（如果不是全部）显示卸载到用户手机上是非常常见的。

 智能手机和物联网的兴起

依靠智能手机的普及和远程控制的兴起，用户和供应商都接受了从物理设备接口的转变。但是，物联网生态系统的这种发展带来了主要的好处和严重的弊端。

当用户享受伴随应用程序的远程功能，而供应商绕过对硬件接口的需求时，研究表明，它们存在严重的网络安全风险。例如，物联网设备及其应用之间的通信通常未正确加密或认证-这些问题使漏洞利用程序得以构建，从而实现了对受害设备的远程控制。

 行业如何来到这里

重要的是要解释所连接的设备并非总是如此。很多人已经不再记得没有智能手机的时代。在这些宁静的日子里，用户输入取决于设备本身的物理接口，这些接口通常由基本触摸屏或两行LCD显示屏组成。

尽管这些物理接口具有功能性，但与取代它们的应用程序相比，它们肯定是受限制的（并且是受限制的）。没有物理接口的设备更小、功耗更低、外观更好。同时，开发人员可以相对轻松地创建应用程序。在软件开发工具包的额外支持下，无需手动编程物理接口。也许最重要的是，对于供应商来说，使用配套应用程序创建设备要比使用物理接口创建设备便宜很多倍。

甚至还没有开始使用远程连接的好处！智能手机应用程序使世界各地的用户都可以设置空调温度，并通过单击屏幕即可从家庭安全网络摄像头进行记录。这些应用程序比物理界面更具表现力和直观性，使用户无论身在何处都能自定义自己喜欢的东西。但是，另一方面，正是远程连接的这一要素提出了可用性和安全性之间的折衷。

 设备配套应用的危险

不幸的是，大多数伴随应用程序都有可能向网络攻击者开放设备。去年的研究人员发现，由于协议分析使用本地通信或本地广播通信，因此大约有一半可以通过协议分析加以利用，从而提供了一条攻击途径，可以利用缺乏加密的手段或使用硬编码的加密密钥的手段。此外，这项针对来自亚马逊一些最受欢迎设备的配套应用程序的研究发现，在三分之一的情况下缺乏加密，在五分之一的情况下使用硬编码密钥。

这些发现在另一项研究中得到了证实，研究人员对2000多个设备伴侣应用程序进行了安全性故障测试。研究人员发现，来自10个供应商的30多个设备依靠同一云服务来管理其设备，并且该云服务报告的安全漏洞以前使攻击者能够通过设备ID和密码枚举来完全控制。

更糟的是，当发现漏洞时，物联网厂商几乎没有动力发布修补程序。这个领域中的大多数供应商都是中小型企业，缺乏用于软件质量控制和安全最佳实践的预算。他们出售的设备相对便宜，只会加剧该问题，这意味着供应商根本没有实现监控代理或身份验证硬件之类的最佳安全实践所需的资源。

 用户必须做什么

好消息是设备与应用程序之间的安全通信是可能的。例如，EZVIZ智能家居安全应用程序通过本地网络支持配套应用程序和设备之间的本地通信。共享加密密钥以QR码的形式包含在设备框中，并且必须由配套应用程序进行扫描。如果QR码中的密钥具有足够的长度和随机性，则此策略优于硬编码的密钥。

另一个安全性变通办法是可能的，以确保客户端和设备之间的命令不会被第三方拦截。对等是德国智能供暖和制冷提供商SOREL公司使用的专用连接类型，以确保其智能手机应用进行通信而不会受到干扰。此外，由于最终用户仅在其设备上管理其数据，因此该连接为公司带来了最小的风险。

坏消息是，如今的用户仍然受供应商的摆布。当前没有法规要求设备制造商确保其设备或配套应用程序实施某些网络安全协议。正如人们看到的那样，供应商对网络安全的漠不关心始终导致安全协议不佳。

因此，在供应商矛盾的背景下，用户有责任采取额外的网络安全措施。在制造商开始对其设备和应用程序实施更严格的安全协议之前，用户将需要自己动手确保自己带入工作场所或家庭的设备不受外界力量的伤害。尽管伴随应用程序的好处显而易见，但只有用户才能防止这些数字接口的严重危险变为现实。