瑞吉酒店向每个客人提供 iPad 和电子管家应用,用来控制房间里的各种设施,但是酒店使用的通信协议 KNX没有提供加密功能,并不安全,因此很容易使自己成为攻击对象。而这种安全问题并不仅仅存在于吉瑞酒店。目前,许多家用自动化系统也都使用了不安全的 KNX 协议。
“透明人”
智能家居设备在为用户提供智能化服务的同时,还在源源不断地收集用户的信息数据,这些数据都被存储在供应商的云端,一旦这些海量的数据被“黑”,无数用户家庭的私密空间将完全曝光在黑客的眼前——用户什么时候回家,什么时候吃饭,什么时候离家、什么时候洗澡、什么时候睡觉、有什么兴趣爱好等都将不再是秘密,成为一个赤裸裸的“透明人”。
Nest是科技巨头谷歌[微博]斥资32亿美元收购的智能家居品牌,其恒温器可以调节用户的室内灯光,通过与家里安装的传感器联网,可以辨别用户是否在家,同时自动调节最佳室温,保证室内的温度适宜;当用户都不在家的时候,Nest会自动将空调或电暖气调至低能耗档位,从而保证家里全部电器处于节能状态。
然而,它也是一个不折不扣的黑客入口。
在2014年黑帽安全大会上,美国佛罗里达中央大学研究员Buentello现场演示了如何轻而易举地入侵谷歌Nest智能恒温控制器。通过USB设备的接入,用户将上传自己的所有消费密码到这款USB设备上,黑客只要知道正确的引导脚码,就能随意加载自己的软件。
在Buentello入侵的整个过程之中,没有任何“认证链”安全措施出现来认证。而一旦黑客成功加载了自己的软件,此后无论用户进行什么操作,黑客都会得到相应的“同步”,自此黑客将如入无人之境,想干什么都行。
目前,市场上充斥大量的智能家居设备供消费者选择,如三星[微博]和LG等具有独立标准的产品,Z-Wave阵营的智能设备,Nest公司的恒温器和烟雾探测器,360的智能摄像机、燃气烟气智能报警器,小米的小蚁摄像机等,标准不一、市场杂乱,让消费者难以有效分辨。
许多企业看到智能家居的巨大市场,都想抢先一步占据先机,由于急于将自己的产品推向市场,在应对攻击方面并没有投入很多资源,因此安全问题十分突出。在一次抽样检测中,应用安全公司Veracode的研究者对6款智能家居设备进行安全测试,结果发现其中5款都存在严重的安全问题。
国家安全隐忧
对于单个用户来说,一旦智能家居被黑客入侵,轻则家居产品的功能失效甚至毁坏,重则隐私数据被盗用,被敲诈勒索或者造成严重的财产损失。而当用户的数量足够庞大以后,它还会上升为国家战略安全的问题。
智能家居的威胁主要有4个,一是目前各企业的协议与技术几乎都是封闭体系,难以互联互通;二是大多智能家居制造商对网络安全的认识不足;三是智能家居制造商通常并不关注数据安全问题;四是硬件厂商在软件和升级方面的能力一般都比较差。
最重要的是,智能家居的智能终端使用的操作系统高度垄断,目前牢牢被苹果的iOS、谷歌的Android和微软[微博]的windows phone控制。去年第三季度,Android和iOS的市场占有率就已经超96%。与此同时,中国在2012年一季度的智能手机出货量即已超过美国,位居世界首位,但核心技术却几乎都是别人的,典型的大而不强。
大数据的可视化使得传统资源的概念发生了重大改变,它不再仅仅局限于煤炭、石油、天然气、矿产等自然资源,大数据正成为与自然资源、人力资源一样重要的战略资源,变成了企业新的资源争夺焦点,未来极有可能成为国家竞争力的重要支点。
假如控制智能家居的终端上运行的都是iOS、Android或windows phone操作系统,用户的身份、各种账号、地理位置、联系人、日程安排、重要文件、兴趣爱好……都可以被实时搜集。
如果全国几十上百亿的智能终端用户信息都被同一家操作系统提供商搜集,整个中国的社会活动将彻底透明化。一旦信息安全的马奇诺防线沦陷,那么我们不仅无法借助“互联网+”弯道超车,还可能因此承受不能承受之重。
当然,凡事有利必有弊。智能家居是技术进步推动的必然结果,无法逆转。中国已经将“互联网+”提升至国家战略的高度,将来必然一路高歌猛进。然而,信息安全不仅涉及公民个体,还关乎国家安全。斯诺登曝光美国“棱镜门”计划之后,引发了全球的严重关切,即是最好的佐证。