13條秘籍破解智能家居安全隱患

　　隨著(zhù)物聯(lián)網(wǎng)(IoT)市場(chǎng)突飛猛進(jìn)，所有的家電產(chǎn)品，現在幾乎都推出了互聯(lián)型號。據 Gartner 預測，到 2015 年消費者的智慧家庭環(huán)境中將存在 29 億臺互聯(lián)的物聯(lián)網(wǎng)設備。

　　但盡管公眾對智慧家庭的認可度不斷提升，最新的研究顯示，物聯(lián)網(wǎng)設備的“安全”問(wèn)題似乎并未得到同樣的重視，這使得消費者的隱私可能被泄露。近日，賽門(mén)鐵克最近分析了50 款目前上市的智慧家庭設備，對其安全性進(jìn)行了評估。

　　智慧家庭設備可能使用后端云服務(wù)來(lái)監控設備的使用情況，或支持用戶(hù)遠程控制這些系統。用戶(hù)可以通過(guò)移動(dòng)應用或 Web門(mén)戶(hù)網(wǎng)站訪(fǎng)問(wèn)這些數據或控制設備。

　　我們的研究結果顯示，許多設備和服務(wù)都存在一些基本的安全問(wèn)題。

　　薄弱的身份認證機制

　　這些設備都沒(méi)有使用相互身份認證功能或采用強密碼。更糟糕的是，一些設備將身份認證密碼限定為簡(jiǎn)單的四位PIN 碼，使得用戶(hù)無(wú)法在云接口上設置強密碼。此外，這些設備還不支持雙因素身份認證(2FA)，并且無(wú)法應對密碼暴力破解攻擊，導致用戶(hù)很容易成為攻擊的目標。

　　Web漏洞

　　除了薄弱的身份認證機制外，許多智慧家庭Web接口還容易受到一些眾所周知的Web應用漏洞的困擾。在對15個(gè)物聯(lián)網(wǎng)云接口執行快速測試后，結果顯示這些設備存在一些嚴重的漏洞，但此項測試只能檢查表面問(wèn)題。我們發(fā)現并報告了有關(guān)路徑遍歷、不受限制的文件上傳(遠程代碼執行)、遠程文件包含(RFI)和 SQL注入等十項漏洞。除了智能燈泡，涉及到的設備還包括智能門(mén)鎖。我們可以通過(guò)互聯(lián)網(wǎng)遠程開(kāi)門(mén)，甚至無(wú)需知道密碼。

　　本地攻擊

　　攻擊者會(huì )通過(guò)侵入采用弱加密功能的Wi-Fi網(wǎng)絡(luò )，攻擊家庭網(wǎng)絡(luò )，進(jìn)而攻擊用戶(hù)的智能設備。我們發(fā)現，這些設備以明文方式本地傳輸密碼或者根本不使用任何身份認證功能。物聯(lián)網(wǎng)設備還存在一個(gè)共同的特點(diǎn)，即采用未簽名的固件更新。此項安全功能的缺失會(huì )讓攻擊者能夠輕易攻破家庭網(wǎng)絡(luò )，破解物聯(lián)網(wǎng)設備的密碼。這些被盜的證書(shū)可用于執行其他命令，甚至還能通過(guò)惡意固件更新徹底控制設備。

　　潛在的攻擊

　　到目前為止，我們還未發(fā)現大規模惡意軟件瞄準智慧家庭設備，例如，路由器和網(wǎng)絡(luò )連接存儲設備等與電腦相關(guān)的設備。目前，提出的大多數物聯(lián)網(wǎng)攻擊只是概念驗證，還沒(méi)有使攻擊者產(chǎn)生任何利潤。但這并不意味著(zhù)，未來(lái)當技術(shù)變得更加主流時(shí)，攻擊者不會(huì )瞄準物聯(lián)網(wǎng)設備。

　　回顧過(guò)去，如果攻擊者的手段沒(méi)有新意，我們就不會(huì )把他們太當回事，但實(shí)則相反，他們總能想到新的攻擊方法。即使只是濫用技術(shù)、威脅用戶(hù)或者攻擊家庭網(wǎng)絡(luò )，網(wǎng)絡(luò )犯罪分子總能夠隨時(shí)準備并熱衷于進(jìn)攻任何目標。

　　所以不要過(guò)早的滿(mǎn)足于新型智慧家庭自動(dòng)化項目，需要花點(diǎn)時(shí)間想想這些便利的設備會(huì )如何暴露您的信息和家庭網(wǎng)絡(luò )，進(jìn)而使它們受到網(wǎng)絡(luò )攻擊。這就要求各大制造商生產(chǎn)安全性更高的智慧家庭設備和物聯(lián)網(wǎng)設備，只有這樣，安全問(wèn)題才能夠得到改善。

　　如果您想了解有關(guān)智慧家庭設備的更多分析和洞察，請參閱我們的白皮書(shū)。

　　應對方法

　　不幸的是，用戶(hù)難以自行提高物聯(lián)網(wǎng)設備的安全性，這是因為大多數設備不提供安全的操作模式。盡管如此，用戶(hù)還應堅持采納以下建議，確保降低其受到攻擊的風(fēng)險：

　　·在設備賬戶(hù)和 Wi-Fi網(wǎng)絡(luò )上采用獨特的強密碼

　　· 更改默認密碼

　　· 設置 Wi-Fi 網(wǎng)絡(luò )時(shí)，使用安全性更高的加密方法，如 WPA2

　　·沒(méi)有必要時(shí)，關(guān)閉或保護物聯(lián)網(wǎng)設備的遠程訪(fǎng)問(wèn)功能

　　· 如果可以，請使用有線(xiàn)連接，而不是無(wú)線(xiàn)連接

　　·如果可以，將設備連接到獨立的家庭網(wǎng)絡(luò )中

　　·購買(mǎi)二手物聯(lián)網(wǎng)設備時(shí)要十分小心，這是因為這些設備可能已被篡改

　　·研究供應商提供的設備安全保護措施

　　·根據您的需要，修改設備的隱私和安全設置

　　·禁用多余的功能

　　· 安裝最新更新

　　·確保像干擾或網(wǎng)絡(luò )故障等造成的停機不會(huì )導致不安全的安裝狀態(tài)

　　· 確認是否要使用智能功能，或者普通設備是否能夠滿(mǎn)足要求