一年前,我们的同事David Jacoby(GReAT团队的安全研究专家)成功黑客入侵了自己家中的各种设备,同时还有很多有趣的发现。许多卡巴斯基实验室员工深受David试验的鼓舞,纷纷跃跃欲试,在自己家中展开相同的试验。
为了从智能设备中找出bug,我们选择了几款流行的物联网设备(IoT)作为试验对象,包括了Google Chromecast(接收视频流的电视棒)、网络摄像头、智能咖啡机以及一套家庭安全系统–其共同之处在于只需一部智能手机或一款手机应用程序就能完全进行操控。所有试验对象的型号和品牌均为随机选择,与具体哪家生产商并无关系。
我们的试验证明了所有物联网设备均可能会遭到黑客入侵,或轻易感染病毒并成为网络黑客的”猎物”。为此,我们特意向各有关生产商报告了这些漏洞。迄今为止,其中一些产品的漏洞得以修复,另一些则仍然存在。
IoT: How I hacked my home http://t.co/CCx9eQEbL2 via @Securelist by researcher @JacobyDavid #InternetofThings
— Kaspersky (@kaspersky) August 21, 2014
Chromecast电视棒
Google Chromecast的发明者显然遗漏了一个bug,该bug能让黑客变身为”电视台编导”,在受害人智能电视机上随意播放各种节目–比如广告、恐怖电影或是些奇怪的图片。一旦网络攻击者成功潜入你的设备,除非用户购买新的电视棒或重新使用电视线,否则他们就能一直为所欲为下去。
黑客如装备有定向天线的话,则即便在离受害人家很远的地方,也能在受害人观看自己最喜爱的节目时进行各种干扰–且几乎不存在被抓的风险。Chromecast的这一漏洞长久以来一直存在,且至今未能修复。
网络摄像头
试验中我们所测试的网络摄像头实际上是通过智能手机进行管理的婴儿监视器。顺便提一下,此类设备早在2013年就遭黑客入侵,并在此后不断遭到漏洞利用。我们所选的型号尽管是2015年最新生产的,但依然从中找出了几个bug。
使用默认婴儿监视器应用进行篡改,网络黑客能够获取公司所有客户的电邮地址。由于大多数购买此类产品的都是为人父母,因此这样一个综合客户数据库将成为网络钓鱼者发动有针对性攻击的理想目标。
Who is to blame for “hacked” private cameras? https://t.co/WItQAZKAbU #security #webcams pic.twitter.com/k7LcRXH6vX
— Kaspersky (@kaspersky) November 21, 2014
我们的研究专家们还在其中发现了其它几个足以完全掌控摄像头的漏洞 :不仅能看到和听到房内发生的一切,还能任意播放设备内的音频文件;或者获取根访问权限并修改摄像头内软件,这意味着您将成为这一小型’智能’设备的真正主人。我们不仅向相关生产商报告了漏洞情况,同时还帮助他们修复这些漏洞。
Hacked Baby Monitor: Security Experts Warn 'Change Your Password' After Cameras Compromised http://t.co/MPHZd2Y5Bc via @HuffPostUKTech
— Kaspersky (@kaspersky) April 28, 2014
来杯热咖啡
对于黑客入侵Chromecast dongle(加密电视棒)和婴儿监视器对我们生活造成的各种不便,我们应该都能很容易理解。但咖啡机遭黑客入侵会产生什么问题呢?碰巧的是,黑客一旦成功入侵咖啡机就能轻易对受害人进行监视,同时还会导致家里Wi-Fi密码泄漏。
出人意料的是,这一问题竟然相当棘手,以至于生产商到目前为止依然未能修复这一bug。但情况并不算太严重:每次留给黑客”作案”的时间只有短短的几分钟而已。但就算你更改了Wi-Fi密码,问题依然存在–咖啡机会”义无反顾”地一次又一次将密码外泄。
ICYMI: Kaspersky Lab CEO: The Internet of Things means 'Internet of Threats' http://t.co/iGeU9N8iqw via @BostonBizNews
— Kaspersky (@kaspersky) March 12, 2015
居家安全
智能家庭安全系统最终还是在这场”安全战争”中失败了。令人感兴趣的是,这里与我们的专知无关–事实上,其中只涉及基础的物理知识。该系统采用了特殊传感器对磁场进行监控,而磁场则是由锁内的磁铁发出。一旦有窃贼试图打开窗或破门而入,磁场就会受到干扰同时传感器会发出警报。
但不法分子完全可以使用一块简单的磁铁让磁场维持不变,即使破门闯入也不会让磁场产生变化。这一问题早已众所周知,原因在于许多流行的安保系统均采用了类似的传感器。此外,即便打上安全补丁也无助于问题的解决–最好的方法就是从根本上改变系统结构。
至于软件方面,该系统可以说是做的相当出色,对于那些学校里没学好物理的网络攻击者或窃贼而言,这一系统完全就是一座’坚不可摧’的堡垒。
有关我们寻找漏洞以及与各相关生产商之间沟通的详细记录已发布在了Securelist网站上,相关内容可以从这里找到。
How will the Internet of Things affect cybersecurity? – http://t.co/fWScmf4QfQ pic.twitter.com/sAk1mcZPg5
— Kaspersky (@kaspersky) April 9, 2015
要想将危险降至最低并让自己的家变得更加安全,请务必遵照我们的建议:
—在选择安装智能家庭安保系统或智能设备时,首先考虑的应该是安全因素。你家中是否存放了许多贵重物品?理应舍弃家庭安保系统,由智能手机管理的带传统有线报警功能的防盗系统就能起到更好的作用。你是否打算使用能看到家人私生活(例如婴儿监视器)的设备?建议考虑一些构造简单且通过无线电频率传输声音的设备,而应放弃使用网络摄像头。
—如果你对上述方法都不感兴趣的话,挑选智能设备时还需谨慎为妙。在去实体店之前,先在网上对设备进行一些研究,尤其需要关注有关bug和修复补丁的新闻。
—千万不要尝试新产品。这些新品往往未经安全专家们的测试,因此其中的bug也无从所知。尽量选择信誉良好厂家生产的设备。