智能电视、智能冰箱、智能路由器、智能空调但凡你能想到的家居产品如今都慢慢被挂上了智能的字眼,然而这些智能设备让人们感受到便捷的同时却面临着安全的挑战。9月底的中国互联网安全大会(ISC2015)上,北京华永兴安科学技术有限公司创始人王英键现场演示了他的黑技术,并表示80%的IOT设备存在隐私泄露或者滥用风险。
图:王英键现场上演各种智能家居产品破解术
好用的智能设备不一定安全,ISC2015数据篡改与物联网安全论坛上,王英键从对一台智能路由器的挑剔说起。在王英键看来,路由器是一个家庭的网关,重要性不言而喻。但从黑客的角度来看,若要发动攻击,也是通过路由器接入局域网,在此过程中,王英键发现这类设备存在着不少缺陷,攻击者可以借此进行窃听。
王英键提出,80%的IOT设备存在隐私泄露或者滥用风险、80%的设备允许使用弱密码、70%的IOT设备通讯录没有加密、60%的IOT设备web界面存在漏洞、60%的IOT设备下载软件更新时没有使用加密。
针对智能家居的安全现状,王英键从黑客视角,介绍了普通采用的攻击模式和方法。他介绍称,针对传统家电所谓的智能化,常见以设备的身份验证、传输过程中敏感数据加密与否、云端是否作了访问控制等为攻击切入点,通过重放攻击、中间人攻击等手段,以手机APP通过云端给IoT设备下发指令、或者IoT设备通过云端向APP回馈数据,即APP与云端的交互、IoT设备和云端的交互作为攻击路径。
这意味着,利用这些安全隐患,黑客可能轻而易举的给隔壁老王制造恶作剧。通过侵入网络,以手机控制设备就能接受电视信号,然后通过设备转发控制电视,在家就能看到隔壁老王家的电视!除此之外,利用同样的方式可以控制老王家的空调、幕布升降、打开车门,这些都不是事儿。
如果你技术过硬、如果你足够调皮,还可以控制隔壁门铃的频率。通过设置一个固定码,就能让隔壁门铃不断响起,隔壁也会不断的开门,如此循环,光是想想就觉得很酸爽。
王英键演示的这些黑技术看起来很搞笑,但实际上物联网中普遍存在的弱口令、后门、漏洞等,一旦被不轨之人加以利用,小到个人生活、个人隐私安全,大到海量的大数据安全,甚至是人身安全都面临严峻威胁,不容小觑。对此,王英键建议IOT设备开发者尽量做到安全编码开发规范生产、设备固件签名、强大完善的固件签名、强大完善的复合身份认证机制、源代码审计等。
据悉,中国互联网安全大会是由中国互联网协会和360互联网安全中心共同创办于2013年,经过3年发展已经成长为亚太地区规模最大、最具影响的网络安全行业盛会。主题为数据驱动安全的2015中国互联网安全大会(ISC 2015)9月29日~30日在北京国家会议中心举行,在为期两天的会议中,来自中国、美国、以色列、澳大利亚、韩国、新加坡等国家的120位全球顶级安全专家,在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上围绕110个议题分享最新的研究成果和行业洞见,深入交流全球信息安全最新发展趋势,共同探讨网络安全行业未来。