黑客大會(huì )引發(fā)的物聯(lián)網(wǎng)安全風(fēng)險防護之道

　　研究人員在不久前的BlackHatUSA大會(huì )上，展示目前市場(chǎng)熱賣(mài)的智能恒溫設備如何會(huì )受到黑客入侵威脅。消費者逐漸被物聯(lián)網(wǎng)(IoT)包圍，日常生活中的嵌入式設備、家電都具備連網(wǎng)功能，而研究人員也證實(shí)，這種要求便利的連結性為設備同時(shí)也會(huì )遭受安全風(fēng)險，為使用者隱私帶來(lái)負面效應。

　　在8月初于美國拉斯韋加斯舉行的2014年度BlackHat大會(huì )上，來(lái)自中央佛羅里達大學(xué)的研究人員GrantHernandez、YierJin，以及獨立研究人員DanielBuentello，對市場(chǎng)上熱賣(mài)的物聯(lián)網(wǎng)概念設備──NestLearningThermostat智能恒溫器重炮轟擊;三位研究人員證實(shí)，如果攻擊者能取得對該種智能恒溫器的實(shí)體接取機會(huì )，該設備就非常容易受到安全威脅。

　　研究人員們實(shí)際示范，攻擊者在不到15秒的時(shí)間內就能把Nest恒溫器從底座上移除，并透過(guò)microUSB接口的纜線(xiàn)植入后門(mén)惡意軟件，而且恒溫器主人完全不會(huì )發(fā)現有任何改變;這種惡意軟件能讓Nest被用來(lái)當做窺探使用者的工具，或是透過(guò)網(wǎng)絡(luò )攻擊其他設備，甚至竊取無(wú)線(xiàn)網(wǎng)絡(luò )憑證等等。

　　這種安全威脅對目前以及未來(lái)的Nest恒溫器使用者來(lái)說(shuō)有何意義?就如同我們看到的DropCam網(wǎng)絡(luò )攝影機黑客入侵案例，攻擊者需要對設備有實(shí)體接觸，這表示歹徒得闖入你家，恐怕是遠比恒溫器被植入惡意軟件更嚴重的威脅;不過(guò)研究人員設想了許多情境，表示Nest恒溫器可能被有心人士購買(mǎi)、植入惡意軟件、再退貨給商店，或者是被植入過(guò)惡意軟件的也可能透過(guò)在線(xiàn)商店被賣(mài)給特定的顧客。

　　而最大的問(wèn)題是，如果設備被黑客入侵了，使用者是完全不會(huì )知道;防病毒軟件也無(wú)法在該類(lèi)設備中執行并搜尋惡意代碼;基本上，若要在不轉存內存或分析設備硬件的情況下察知設備是否被黑客入侵，唯一方法就是監控網(wǎng)絡(luò )數據流量，或是觀(guān)察是否有異常情況出現──也就是在大多數家庭網(wǎng)絡(luò )中不太可能出現的情況。

　　你家的智慧恒溫器可能會(huì )被黑客入侵!

　　不過(guò)研究人員還是稱(chēng)贊Nest恒溫器是一款設計精良的產(chǎn)品，到目前為止，這款設備的安全威脅仍?xún)H限于透過(guò)USB纜線(xiàn)實(shí)體入侵;研究人員還在忙著(zhù)尋找Nest網(wǎng)絡(luò )客戶(hù)端、服務(wù)，以及可支持遠程利用的NestWeave通信協(xié)議是否有漏洞存在。透過(guò)存取設備上的檔案，以及藉由硬件后門(mén)取得與執行程序互動(dòng)的能力，恐怕黑客找到遠程攻擊方法只是時(shí)間問(wèn)題。

　　除了被當作攻擊其他家用無(wú)線(xiàn)網(wǎng)絡(luò )上連網(wǎng)設備的“跳板”，Nest智能恒溫器還可能帶來(lái)其他安全威脅;研究人員表示，NestWeave通信協(xié)議也可能是一個(gè)脆弱的切入點(diǎn)。Weave是一個(gè)以802.15.4標準為基礎的通信協(xié)議，與Zigbee與WirelessHART類(lèi)似，能讓Nest恒溫器與其他Nest設備通信，如NestProtect煙霧/二氧化碳警報器。

　　如何能防止黑客攻擊同樣具備以802.15.4通信協(xié)議為基礎之接口的設備，例如智能電表、遙控門(mén)鎖等等?這也是研究人員正在努力調查的部分。在大會(huì )發(fā)表專(zhuān)題演說(shuō)時(shí)，上述研究人員們也詢(xún)問(wèn)聽(tīng)眾們是否會(huì )繼續使用Nest設備;其中一位研究人員Buentello表示：「盡管我們做了那么多研究發(fā)現它們可能有多么危險，我還是沒(méi)放棄它們、我家裝了兩個(gè)。

　　研究人員們總結表示，今日我們對于可接受之嵌入式設備所采取的行動(dòng)與決定，將替未來(lái)三十年的產(chǎn)品設立標準。