你坐在星巴克里,在笔记本电脑上忙着自己的事情,这个时候有人利用同一家咖啡馆里的Wi-Fi对你的智能家居进行虚拟入侵,比如访问你的电灯开关应用程序并使用它来禁用你家的安全摄像头,以便真正的小偷可以闯入,或者他同时也禁用了智能锁然后大摇大摆地走进去,而你对此毫不知情,直到你回到家才发现设备被黑了,而家,被盗了。
这只是一个场景,展示了威廉和玛丽学院(College of William and Mary)的计算机科学家在今年夏天进行的测试中发现的互联网连接智能家居设备的许多固有缺陷。这个特殊的缺陷允许黑客攻击低安全性的智能家居设备,例如灯开关或恒温器,并使用该访问来攻击他们用其他方法无法访问的高安全性设备。
这是所谓的横向特权升级的一个例子,专家们警告说,这种智能家居黑客比你想象的还要容易。就算不是彻头彻尾的伤害,它们也可能导致各种潜在的恶作剧,从关闭你的安全系统到启动智能烤箱,直到它过热并烧毁你的房子。
首席研究员及计算机科学助理教授Adwait Nadkarni表示:“可能性是无限的,家里有这么多设备会影响你的安全,影响你家庭的完整性。”
短短两年内将有200亿台智能家居产品投入使用。副教授Denys Poshyvanyk表示:“你可以想象这些攻击的组合方式会明显增加,因为我们将拥有更多相互连接的设备,在这一点上,我们很难想象别人会以此做些什么。”
Nadkarni和Poshyvanyk共同撰写了一篇论文,他们将在3月份在达拉斯召开的第9届ACM Conference on Data and Application Security and Privacy年会上发表演讲。在这篇论文中,他们列出了控制智能家居产品的计算机程序或代码部分被滥用的可能,并提供了10个重要发现,其中包含“严重的安全隐患”。
该论文称“这些产品的多样性令人震惊,从配备了嵌入式计算机的小型物理设备,如智能锁和智能灯泡,到冰箱和HVAC系统等成熟设备。”风险可能相当惊人,“因为这些产品中的许多都与用户的安全或隐私(例如门锁、相机摄像头)相关联,所以了解这些设备和平台的攻击面,以便在不牺牲实用性的情况下构建实用防御非常重要。”
对于他们的研究,Nadkarni和Poshyvanyk专注于两个最受欢迎的智能家居平台——谷歌Nest和飞利浦Hue,执行家庭自动化“例程”。例程是智能家居设备与控制它们的应用程序之间的交互。它们正在成为无缝家庭自动化的核心。
该论文表示,有两大类例程:一类允许用户使用第三方应用程序界面将各种设备“链接在一起”,另一类使用“集中式数据存储”作为一种总机,设备和应用程序可以通过互联网相互通信。
两者都旨在使用户更加无缝地实现智能家居自动化,并且两者都被发现易受攻击,黑客能够攻击家中所有连接互联网的设备。例如,对于集中式数据存储平台,当你使用移动应用程序与低安全性设备(例如,电灯开关)通信时,设备将使用授权令牌访问你的智能家居设备。
Nadkarni表示:“任何人都可以窃取那个访问令牌,并利用它来做很多事,例如让你的智能家居认为你在家里并关掉安全摄像头。”科学家们认为要做到这些并不难。Poshyvanyk表示:“你不需要受过任何专门的教育,你只需要知道如何运行某些程序。即使是高中生也可以做到这一点。”
他们将这种情况归咎于消费者旺盛的需求和厂家急需满足需求的心理。Poshyvanyk表示:“制造商们竞相发布这些系统,却没有充分了解它们将如何在自然环境中使用。”
在研究人员发现这些安全漏洞后,他们联系了平台供应商谷歌和飞利浦以及应用程序开发商和制造商TP Link,报告了他们发现的内容。TP Link在其最新的Kasa Switch调光器应用程序中修复了这一缺陷,该应用程序可防止前面提到的理论横向攻击。预计飞利浦也将推出针对其平台的解决方案,同时,谷歌也正致力于解决这些漏洞。
但这并不是一家公司的问题,整个行业需要变得更聪明。Poshyvanyk表示:“我们认为,要想正确设计这些系统,需要系统性的努力,因为这些问题会随着时间的推移而恶化,更多的设备会加入进来,如果,它们一开始并没有考虑到安全方面的设计,我们将还会遇到更大的问题。”