无以计数的智能手表、咖啡机、吸尘器,甚至汽车现在都已经成为了所谓物联网(IoT)的一部分。物联网这一综合性术语,涵盖了我们越来越喜欢,也越来越依赖的各种联网设备。至少在理论上,物联网应该让我们的生活更简单、更方便,因而越来越普及。
但是,物联网有一个极大的缺点:安全性。不幸的是,制造商并不太关心联网设备的安全性,所以几乎所有的”智能”设备都十分脆弱,有着潜在的危险性。卡巴斯基实验室对物联网中潜伏的威胁进行了调查。
物联网是否危险?
物联网设备通常安全性较差,安全机制很容易被绕过。犯罪分子对此乐见其成:攻击物联网的恶意程序数量今年翻了一倍多。在全球范围内,智能设备数量目前已达到60亿台,其中很多都有漏洞,而成为了攻击者的潜在目标。
被黑的物联网设备可用于DDoS攻击,也就是说,能够集中大量Wi-Fi路由器的能力,对服务器进行泛洪攻击,导致服务器瘫痪。臭名昭著的Mirai 僵尸网络就是这么干的。比如近一年前,它攻入了几十个世界上最大的Web服务。
僵尸网络并不是唯一利用联网智能设备的恶意软件。例如,攻击者入侵一个智能网络摄像头,就能开始监视其所有者。物联网中没有哪块圣地不可侵犯,连儿童玩具也不能幸免。网络犯罪分子可以利用未受保护的蓝牙连接,假装是孩子心爱的菲比精灵或泰迪熊来和孩子说话,或者在玩偶的帮助下监视孩子。
最后但同样重要的是,一些犯罪分子简单地破坏物联网设备,使其停止运行。这是 BrickerBot蠕虫病毒的作案手法。被黑的小装置就此变成无用的塑料和金属。
了解你的敌人
卡巴斯基实验室决定对8种智能物件进行漏洞检查:智能充电器、通过应用控制的玩具车(装有摄像头)、智能家居系统的收发器、智能秤、吸尘器、熨斗(没错,智能熨斗!)、相机和手表。
结果十分令人失望。8种设备中只有一种证明是足够安全的,而其余的小物件都没有可靠的安全保护。其中大多数物件使用了低强度默认密码,有些机型甚至不能更改密码,另一些则公开机密信息,可随时被人拦截。
在我们的专家们研究的其他智能产品中,其中有一款是颇受欢迎的”间谍”玩具 – 一种内置摄像头并通过手机应用控制的汽车。连到手机甚至不需要密码,所以汽车可以被任何人控制。这个间谍车可以录制声音和视频,允许犯罪分子收集勒索资料及小装置所有者的更多信息。
物联网世界生存法则
下面我们给出的建议能帮助你在使用智能设备时保持安全:
在购买产品前权衡利弊。搜索想买的小装置此前被攻击的相关信息。也许有些入侵案例已经在互联网上曝光。
务必把默认密码更改为更复杂的密码。如果设备不允许更改密码,请三思是否真的需要此设备。
如果还是想购买此设备,请考虑采取方法来减少攻击风险。卡巴斯基实验室已经发布了卡巴斯基物联网扫描程序测试版,这是一款免费的智能小工具安全解决方案。卡巴斯基物联网扫描程序能检查你的家用Wi-Fi网络,确定哪些设备连接到了该网络,并报告这些设备是否得到安全保护。