提到聯(lián)網(wǎng)住宅，人們會(huì)自然認(rèn)為自己才是家里的主人。但不幸的是，黑客的攻擊可能讓你因?yàn)檫@種技術(shù)的發(fā)展而深受其害。

馬克·吉爾伯特(Marc Gilbert)對(duì)此深有體會(huì)。為了照顧2歲的女兒，他在家里裝了IP攝像頭。但今年8月，攝像頭被黑客入侵，導(dǎo)致熟睡中的女兒遭到黑客的“隔空辱罵”。

類似的事情其實(shí)并不少見(jiàn)，這也凸顯出所謂的智能住宅技術(shù)普及過(guò)程中面臨的一大障礙。

這樣的黑客攻擊絕非小事。如果說(shuō)住宅是人們身份的延伸，那么恐怕沒(méi)有什么地方能比那里更能給予我們庇護(hù)，讓我們安心。也正因如此，對(duì)智能住宅技術(shù)的入侵，自然會(huì)讓我們心生恐懼。

誰(shuí)在盯著誰(shuí)?

曾幾何時(shí)，破解車庫(kù)遙控器的無(wú)線電頻率還是一種普通人難以接觸到的高科技，但現(xiàn)在卻幾乎成了小兒科。

如今，陌生人已經(jīng)可以掌控他人的家用攝像頭，甚至入侵聯(lián)網(wǎng)電視和恒溫器。這顯然令人毛骨悚然，甚至?xí)?lái)切實(shí)的破壞。

攝像頭可以用來(lái)竊取登錄信息，而恒溫器則可以透露主人是否在家。電視原本是幫助我們進(jìn)入虛構(gòu)世界的窗口，但現(xiàn)在卻成了外人偷窺我們?nèi)粘Ｉ畹碾[秘渠道。

例如，智能電視上既有攝像頭、麥克風(fēng)，還能安裝應(yīng)用、上網(wǎng)沖浪，功能已經(jīng)越來(lái)越接近電腦。不僅如此，它也跟電腦一樣可以入侵。用戶不僅可能被自己家的電視監(jiān)控，甚至?xí)灰T到惡意網(wǎng)站，導(dǎo)致敏感信息被竊。

安全評(píng)估公司iSEC Partners首席安全工程師阿隆·格拉塔菲奧里(Aaron Grattafiori)是這方面的專家。他和他的同事約什·亞沃(Josh Yavor)在今年的拉斯維加斯黑帽安全大會(huì)上向觀眾演示了成功入侵三星智能電視的過(guò)程。

格拉塔菲奧里通過(guò)郵件解釋稱，他使用那款電視的網(wǎng)絡(luò)瀏覽器攻破了它的前置攝像頭，控制了DNS設(shè)置，并向其他應(yīng)用植入了類似于病毒的代碼。他表示，之所以能完成這種攻擊，是因?yàn)槿侵悄茈娨暤暮芏鄳?yīng)用(包括Skype和Twitter)都是用Javascript和HTML5編寫的，而且使用了Binary API(應(yīng)用編程接口)，使之極易受到攻擊。

最終，格拉塔菲奧里和亞沃輕松將他們的惡意代碼植入到電視里，不過(guò)三星后來(lái)修補(bǔ)了這一漏洞。

寶寶攝像頭失控

為了照看寶寶，吉爾伯特購(gòu)買了Foscam的IP攝像頭，但那款產(chǎn)品的軟件卻存在重大安全問(wèn)題。在安裝過(guò)程中，F(xiàn)oscam使用了默認(rèn)的用戶登錄名，也就是最經(jīng)典的admin用戶名，但并沒(méi)有提醒用戶自行更改。

更改初始登錄信息是所有安全專家的首要建議，大概是因?yàn)楹芏嘤脩舳际韬隽诉@一點(diǎn)。事實(shí)上，任何聯(lián)網(wǎng)設(shè)備都會(huì)有一套默認(rèn)的身份驗(yàn)證程序，可以被黑客輕而易舉地攻破。而由于Shodan專用搜索引擎可以方便用戶尋找各種上網(wǎng)家電，所以要找到家用路由器和IP攝像頭便更加容易。

對(duì)Foscam來(lái)說(shuō)，黑客還可以直接解析*.myfoscam.org名空間，因?yàn)槎鄶?shù)聯(lián)網(wǎng)的Foscame攝像頭都會(huì)列出主機(jī)名稱。這些方式都可以幫助黑客找到巨大的寶藏。

當(dāng)然，安全問(wèn)題并非Foscam攝像頭獨(dú)有。通過(guò)蘋果旗艦店和百思買銷售的IZON監(jiān)控?cái)z像頭最近也被曝存在與默認(rèn)登錄名有關(guān)的安全問(wèn)題。

Foscam已經(jīng)發(fā)布了軟件補(bǔ)丁，催促用戶更改用戶名和密碼。然而，這或許仍然不能徹底解決這類問(wèn)題。因?yàn)闊o(wú)論技術(shù)水平高低，科技用戶通常都無(wú)法及時(shí)更新軟件。

選擇一個(gè)獨(dú)特而難以猜測(cè)的用戶名是十分重要的，而且非常必要，但仍然不能保證100%的安全。家住休斯頓的吉爾伯特表示，他家里的路由器有密碼保護(hù)，而且啟用了防火墻。IP攝像頭同樣設(shè)置了密碼。

然而，入侵者還是拿到了這款攝像頭的控制權(quán)，具體方法有可能是通過(guò)暴力破解實(shí)現(xiàn)的，也有可能是更加復(fù)雜的黑客技術(shù)。已有信息顯示，這名黑客來(lái)自歐洲。

家門大開

聯(lián)網(wǎng)家用產(chǎn)品可以通過(guò)多種方式接入網(wǎng)絡(luò)，有的用藍(lán)牙，因此號(hào)稱可以使用設(shè)備配對(duì)協(xié)議來(lái)預(yù)防未經(jīng)授權(quán)的訪問(wèn)行為。還有的直接接入WiFi網(wǎng)絡(luò)。飛利浦Hue燈泡、Dropcam攝像頭、Nest恒溫器和火警報(bào)警器、貝爾金WeMo設(shè)備等產(chǎn)品都可以直接接入路由器，從而通過(guò)互聯(lián)網(wǎng)訪問(wèn)，所以可以直接通過(guò)網(wǎng)站或移動(dòng)應(yīng)用實(shí)現(xiàn)遠(yuǎn)程監(jiān)控。

另有一些產(chǎn)品使用了別的方法，例如家住俄勒岡的托馬斯·哈特利(Thomas Hatley)家里就使用了這樣一套系統(tǒng)。他家安裝了Insteon住宅自動(dòng)化系統(tǒng)，可以利用無(wú)線電信號(hào)和已有的線路通訊。但仍然需要通過(guò)互聯(lián)網(wǎng)與外界相連，所以仍然無(wú)法避免攻擊事件的發(fā)生。

當(dāng)《福布斯》編輯喀什米爾•希爾(Kashmir Hill)遠(yuǎn)程攻入他的住宅，并獲得了住宅自動(dòng)化系統(tǒng)的控制權(quán)后，他感到頗為震驚。通過(guò)這種方式，希爾雖然身在紐約，但卻可以輕易掌控哈特利家的各種設(shè)備，從電扇到燈泡，再到車庫(kù)門，無(wú)所不包。她發(fā)現(xiàn)，希爾家的這套系統(tǒng)甚至在默認(rèn)狀態(tài)下不需要密碼保護(hù)，而這卻是最基本的安全要求。

Insteon只是聯(lián)網(wǎng)住宅中使用的多種通訊系統(tǒng)之一，其他較熱門的網(wǎng)絡(luò)還使用了Zigbee和Z-ware無(wú)線協(xié)議，從而方便設(shè)備彼此“溝通”，并實(shí)現(xiàn)遠(yuǎn)程操控。

“由于Zigbee是一套開放系統(tǒng)，所以已經(jīng)有很多相關(guān)的安全研究。但Z-ware卻是一套封閉系統(tǒng)，相關(guān)研究并不多。”格拉塔菲奧里說(shuō)。不過(guò)，由于這類協(xié)議較為模糊，或者比較專業(yè)，所以不會(huì)構(gòu)成太大的擔(dān)憂。

然而，隨著住宅自動(dòng)化系統(tǒng)以及家庭安保和控制系統(tǒng)的進(jìn)步和流行，這種情況可能發(fā)生變化。雖然住宅自動(dòng)化系統(tǒng)在美國(guó)的普及率大約只有3%，但卻已經(jīng)孕育出了一個(gè)價(jià)值15億美元的行業(yè)。據(jù)路透社報(bào)道，分析師預(yù)計(jì)“智能住宅”產(chǎn)品要不了多久就將實(shí)現(xiàn)兩位數(shù)的增長(zhǎng)。

這也難怪Zigbee和Z-ware這樣的協(xié)議會(huì)成為黑客大會(huì)和安全研究人員的關(guān)注重點(diǎn)。他們發(fā)現(xiàn)，貝爾金的WeMo或許是最容易攻克的系統(tǒng)，因?yàn)檫@類設(shè)備缺乏安全協(xié)議和認(rèn)證手段。安全公司SensePost的安全研究人員貝赫朗•弗拉迪(Behrang Fouladi)通過(guò)WeMo的操作系統(tǒng)成功控制了這款設(shè)備，并且監(jiān)控了它與開關(guān)和iPhone之間的通訊信息。

“我不擔(dān)心是否有人會(huì)遠(yuǎn)程開關(guān)我家的燈，”弗拉迪說(shuō)，“但門鎖和動(dòng)作傳感器之類的東西一旦被入侵，就會(huì)產(chǎn)生嚴(yán)重的后果。在這方面做出妥協(xié)的代價(jià)會(huì)更高。”

企業(yè)加強(qiáng)評(píng)估

專門開發(fā)聯(lián)網(wǎng)家庭系統(tǒng)的公司都很重視安全性。例如，SmartThings就會(huì)對(duì)所有合作伙伴的應(yīng)用和設(shè)備進(jìn)行一一測(cè)評(píng)，確保其符合他們的安全標(biāo)準(zhǔn)。該公司發(fā)言人說(shuō)：“我們會(huì)進(jìn)行安全測(cè)試，確保一切都符合標(biāo)準(zhǔn)。”

該公司的白皮書還列出了眾多協(xié)議，從個(gè)人身份號(hào)碼到兩步驗(yàn)證措施，再到防火墻、數(shù)據(jù)加密和沙盒。他們甚至?xí)martThings的使用中心設(shè)置為特殊的模式后，再與Zigbee或Z-wave設(shè)備配對(duì)，以此將惡意設(shè)備拒之門外。

iControl公司為ADT Securities Services、Comcast、時(shí)代華納有線、Cox和Rogers等公司的聯(lián)網(wǎng)住宅服務(wù)提供技術(shù)，他們也通過(guò)與供應(yīng)商和合作伙伴的配合來(lái)確保設(shè)備開發(fā)、軟件開發(fā)和服務(wù)管理都符合相應(yīng)的安全要求。

該公司還負(fù)責(zé)所有聯(lián)網(wǎng)電子設(shè)備的軟件管理。iControl執(zhí)行副總裁吉姆•約翰遜(Jim Johnson)說(shuō)：“我們通過(guò)中央服務(wù)器管理所有設(shè)備或平板電腦的軟件。一旦我們需要升級(jí)軟件，都會(huì)向訂閱該服務(wù)的用戶住宅自動(dòng)推送更新。”

毫無(wú)疑問(wèn)，安全漏洞對(duì)服務(wù)提供商來(lái)說(shuō)將是一場(chǎng)噩夢(mèng)。對(duì)消費(fèi)者同樣如此，如果沒(méi)有了安全感，再大的便利也將變得毫無(wú)價(jià)值。