智能家居廠商重體驗 不注重產(chǎn)品安全性

極客網(wǎng)4月10日（北京）隨著物聯(lián)網(wǎng)技術(shù)和相關(guān)設(shè)備逐步進入大眾的視線當中，其存在的安全隱患也成為了外界熱議的話題。最近，應用安全公司Veracode的研究者就對6款智能家居設(shè)備進行了安全測試，結(jié)果發(fā)現(xiàn)其中5款都存在嚴重安全問題。

所測試的這6款設(shè)備包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多種家庭自動化設(shè)備和傳感器的幫助下——包括門鎖、開關(guān)和電源插座——所有這些設(shè)備都可通過互聯(lián)網(wǎng)實現(xiàn)遠程控制和監(jiān)控功能，它們中的大多數(shù)還可連接至基于云端的服務，用戶則可通過網(wǎng)頁端口或智能手機應用與之進行交互。

并沒有試圖尋找這些設(shè)備固件當中的漏洞，而是對它們的工作方式及使用的通訊協(xié)議進行了分析。安全專家們查看了這些設(shè)備的前端（用戶和云服務之間）和后端（設(shè)備和云服務之間）連接，在前端連接方面，他們發(fā)現(xiàn)只有SmartThings Hub執(zhí)行了強密碼，而Ubi甚至沒有對用戶連接進行任何加密，這無疑給中間人攻擊創(chuàng)造了可能。

而在后端連接這一塊，這些設(shè)備的表現(xiàn)更加糟糕。Ubi和MyQ Garage沒有執(zhí)行加密，沒有提供對抗中間人攻擊的必要保護，對于重放攻擊也毫無防御力。此外，Ubi也沒有對敏感數(shù)據(jù)進行適當?shù)谋Ｗo。

除了SmartThings Hub之外，這些設(shè)備都不具備中間人攻擊保護，因為它們要么完全沒有使用安全傳輸層協(xié)議（TLS）加密，或是沒有使用適當?shù)淖C書驗證執(zhí)行TLS加密。

這種情況表明，廠商在產(chǎn)品設(shè)計階段都是假定它們未來所運行的網(wǎng)絡環(huán)境都是安全的，但事實顯然并非如此。從過去幾年里的安全研究中我們可以看出，如果說有什么東西的安全性比物聯(lián)網(wǎng)設(shè)備還要差，那就是消費類路由器了。安全專家經(jīng)常會在路由器當中發(fā)現(xiàn)嚴重的安全漏洞，它們中的大多數(shù)可讓黑客執(zhí)行中間人攻擊，也導致了數(shù)以百萬計的路由器被用于大規(guī)模的攻擊。

物聯(lián)網(wǎng)廠商對于家庭網(wǎng)絡安全的錯誤信任也反映在了旗下產(chǎn)品暴露于這些網(wǎng)絡中的調(diào)試接口和其他服務。

的研究者發(fā)現(xiàn)，Wink Hub會在80端口運行未認證的HTTP服務，Wink Relay會運行可通過網(wǎng)絡訪問的ADB服務，Ubi運行ADB和VNC（遠程桌面）服務時都不需要密碼，SmartThings Hub所運行的Telnet服務器受到了密碼保護，MyQ Garage所運行的HTTPS服務會暴露基本連接信息。

在Wink Relay和Ubi這兩款設(shè)備身上，暴露的ADB接口可向攻擊者提供root權(quán)限，讓他們得以在設(shè)備上執(zhí)行任意代碼和命令。

在云端服務方面，Veracode的研究者雖然沒有直接對這些服務的安全性進行分析，但他們還是考慮到了幾種可能出現(xiàn)的情況，比如如果攻擊者獲取到了用戶賬戶、截獲了與之接近的連接、或是徹底沖破云服務會發(fā)生什么。他們得出的結(jié)論是，這些情況會導致嚴重程度不同的安全問題，輕則暴露敏感信息，重則致使設(shè)備徹底被控制。

廠商并沒有清楚地向用戶解釋這些設(shè)備對于云服務的依賴，但他們的確應該如此——因為并不是每一位用戶都意識到，他們并不是直接和設(shè)備進行交互的。當使用配套的移動應用時，控制信號實際上需要通過由第三方運營的服務才會被傳遞到設(shè)備當中。這同時也意味著，需要獲得安全措施保護的不僅僅是硬件設(shè)備本身，還包括網(wǎng)絡服務。

根據(jù)這些分析結(jié)果得出的結(jié)論是，這些測試設(shè)備的設(shè)計師“沒有足夠重視安全和隱私，從而把消費者置于網(wǎng)絡攻擊或物理入侵的風險當中”。

舉個例子，Ubi設(shè)備所收集的信息可讓不法之徒了解到你家里是否有人（根據(jù)環(huán)境噪音或燈光）。此外，通過利用Ubi或Wink Relay所含的漏洞，攻擊者可以使用設(shè)備的麥克風進行竊聽。

但所幸的是，不同于路由器這種設(shè)備，許多物聯(lián)網(wǎng)設(shè)備都具備自動升級的能力。因此當發(fā)現(xiàn)問題時，廠商可以輕松地推送修復升級。

生成海報

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）