如果你始终关注互联网和计算机安全方面的新闻,那么听到许多智能家居系统设计不周或配置不良,导致安装这些系统的家庭面临着大量严重的安全漏洞时,你应该不会觉得太意外。
这么说恐怕小瞧您,但智能家庭确实与您想像中的完全一样(你会想到智能手机、智能电视、智能汽车等等):家里的所有家电、冷暖系统、照明系统、烟雾探测器和/或门锁全部连到家庭网络,而家庭网络又最终连到互联网,计算机、手机和平板电脑以及其他相对传统的支持互联网的设备也全部都连到互联网。通过这样的系统,用户能够远程监视和操控家里的各个系统。
一直以来,研究人员都对智能安全系统和连接互联网的门锁和烟雾探测器(还有其他任何连到互联网的设备)的安全性有所置疑,这也是我始终关注的问题。最新的新闻是,AV-Test.org对7种不同的智能家居套件的安全情况进行了测试,结果发现其中4种都差强人意。
当然这7个套件只是沧海一粟,也许在统计学上来说微不足道,也不是具有代表性的取样量。但无论如何,在此次研究中发现的有漏洞的设备,可以被利用进行内部攻击(在某些情况下还可进行外部攻击),攻击目标是家庭网络及其所连设备,或者是住宅本身及其家里的东西。
国际知名安全评测组织AV-Test分析的七款智能家居套件分别是:iConnect(eSaver)、tapHome(EUROiSTYLE)、Elements(集怡嘉)、iComfort(REV Ritter)、Smart Home(RWE)、QIVICON(德国电信)和XAVAX MAX!(Hama)。AV-Test发现,其中只有集怡嘉、RWE和QIVICON套件能够良好地防御黑客入侵和未授权访问。iComfort和tapHome套件均在本地含有可利用的漏洞,这意味着攻击者需要在家里才可利用这些漏洞。最严重的是iComfort和XAVAX MAX!套件,这两款套件能被远程入侵(同时也能被本地入侵)。
每种产品都有一组不同的功能。但总体来说,这些功能属于电力、供暖和安保控制系统、门窗和房间监视系统、开关插座的控制系统以及照明、供暖和电力的开关系统。
广义上来说,攻击者能够操控连接的系统来达到破坏的目的(比如,关闭供暖,使管道在冬季破裂)。
然而,大多数黑客犯罪分子的目标是金钱。因此,最可能的攻击是利用这些系统中的漏洞作为接入点,并最终获取家庭网络中存储的宝贵数据。还有可能发生的情况是,不安全的设备被入侵后,可被控制用于对可能的实际盗窃目标进行监视。高手甚至可借此打开门锁,从而更轻松地实施盗窃。AV-Test注意到,有能力在各种所连设备上传播的勒索软件很容易被攻击者所利用。用户不得不为此支付勒索费用,否则整个住宅都会停止工作。
AV-Test重点研究了设备之间的通信是否加密,默认情况下套件是否要求主动认证(网络或物理访问密码)以及易受远程攻击的难易程度。
Gigaset、RWE和QIVICON产品的通信都始终加密,因此被AV-Test视为是安全产品。iConnects的通信虽然也加密,但AV-Test表示,此套件的加密很容易被绕过。根据研究中的观察结果,其余的iComfort、tapHome和XAVAX MAX!这几个产品根本就没使用加密。
未部署任何加密机制意味着所有智能家庭通信都可以被轻易拦截。所以攻击者能够监视这些设备的所有来往通信,骗取代码来操控设备活动,甚至只监视这些设备就能推断出家里有没有人。
未部署任何加密方法意味着所有智能家庭通信都可以被轻易拦截。
iComfort产品完全不要求认证,这意味着远程攻击者能够基于网络启动对系统的攻击。iConnect和XAVAX MAX!系统要求网络接入认证,但对本地物理接入不要求认证。tapHome要求内部认证,但据研究显示,这种措施其实毫无作用,因为产品缺少加密机制。Gigaset Elements、RWE Smart Home和QIVICON都要求物理和网络接入认证(安全通信除外)。
但好消息是:AV-Test认为,如果这些产品制造商花些时间来开发可靠的安全理念,而不是将有缺陷的产品急不可耐地上市销售,那么打造一个安全的智能家居系统完全是可能的。另一个好消息是:AV-Test为您购买智能家居系统提供了挑选标准:请挑选总是要求认证,并且始终加密通信的系统。