近日,美国谷歌母公司“字母表”旗下的一家子公司,可把很多用户“吓坏了”。
原来,有用户在使用过程中发现,这家公司生产的室内监控摄像头会被黑客入侵,甚至和用户“喊话”。
这是一款智能摄像头,用户出门时,可以用这款摄像头监控家中的情况,摄像头还设有内置扬声器。最近,一名叫亚当·金 的男子说,他原本是用摄像头监控家里的宠物狗,意想不到的事情发生了。
原来,亚当的摄像头被一名陌生人“黑”了,可以监控他的一举一动。
没办法,亚当立刻拔掉了摄像头的电源。
无独有偶,上个月,芝加哥一对夫妇发现,自己孩子所在的屋子发出了奇怪的动静。
原来,用来监控自己孩子活动的摄像头,却成了黑客下手的对象。
专家表示,很多用户习惯把多个账号设置同一个密码,可能是造成设备被“黑”的重要原因之一。
黑客可能使用其他数据泄漏获取密码,入侵您的摄像头。
你的智能设备正在“监视”你?
其实,不仅仅是摄像头。很多智能设备,都有可能正在“监视”着您的一举一动。
上个月,亚马逊旗下一家公司研发的智能门铃就被爆出,公司员工允许观看用户门铃摄像头拍摄的视频,而用户并不知情;
澳大利亚一位安全专家,他可以轻而易举地利用电动汽车的车载应用软件漏洞,控制一辆远在英国的汽车;
此外,扫地机器人也可能化身“间谍”机器人,黑客可以伪装成用户本人登陆,对扫地机器人远程遥控,实时查看家中的情况。
带摄像头的扫地机器人、负责监控家里小孩或宠物的监护器……越来越多的智能家居设备进入家庭的同时,一些安全漏洞频频爆出。
在一些不法分子手里,他们通过破解软件或IP地址轻易地入侵并控制这些智能家电摄像头,将镜头对向卧室或卫生间等私密场所,窥探个人隐私,于是智能家电变偷窥狂。
消费者在不考虑安全的情况下使用智能家电设备,可能会招来黑客和小偷,使得智能家电变偷窥狂。
反复的研究表明,为使家庭自动化而设计的设备有严重的弱点。
惠普对十个现成的家庭安全系统进行的调查显示,许多设备的密码政策都很弱,而且不能够防范“中间人攻击”。另一些人没有阻止访问该设备的调试接口,根据代码安全公司Veracode 4月份的一项研究,这可能会让设备很容易遭到黑客攻击。
而且,根据安全公司Synack的一项研究,如果攻击者能够访问该设备,那么几乎所有设备都很容易被攻破,并变成特洛伊木马。
事实上,只要研究人员打开硬件,只需要5到20分钟的时间就能找到一种方法来入侵每一种设备。
更为可怕的是,甚至背后会形成一个盗卖隐私的产业链。在一些QQ群,摄像头破解软件和摄像头IP地址被公开售卖,数十元至数百元不等。
除了窥私,还有卖家将偷录的私密视频当做色情视频卖出牟利。
“科技公司们确实在努力推动产品进入市场,真正在物联网领域展开竞争,但他们的团队中没有一个安全人员,因此有很多小问题被忽视了。”
Synack的安全研究分析师科尔比·摩尔表示,“大多数公司都忽略了基本原则。”
市场研究机构Gartner的数据显示,到2020年,超过60%的企业将投入使用多种数据安全工具,例如数据丢失预防,加密和以数据为中心的审计和保护工具,这些工具从目前的约35%上升。
尽管Apple Watch可能是互联网上最知名的设备,但未来你将会连接的许多“东西”将会是你智能家电的一部分。不幸的是,为用户提供家庭自动化功能的热潮却未让系统达到应有的安全,反而为网络攻击者提供了更多的攻击途径。
Veracode的安全研究架构师Brandon Creighton在一份声明中说:“我们对物联网的实现和未来的发展感到非常兴奋,但这并不意味着网络安全在这一过程中成为牺牲品。”
例如,安全公司Synack测试了摄像头、恒温器、烟雾探测器和家庭自动化控制器,寻找安全漏洞。
公司考虑了可能会影响消费者的四个情景:黑客在两分钟内入侵家里的设备,手机被偷走,偷听狂在咖啡馆通过网络监视受害者,以及更高级的黑客在受害者购买前成功修改智能家电设备。
每个设备都有安全缺陷。
例如,消费者希望通过智能手机控制自己的家,这意味着失去设备可能会对家庭安全产生重大影响。此外,许多产品都不使用加密技术。
“我不得不说,我感到很震惊,而且是非常非常令人震惊的。”摩尔说。
对于那些踏上家庭自动化之旅的消费者来说,这里有一些最简单的步骤,可以尽可能地不让智能家电变偷窥狂。
锁定路由器
路由器是家庭的数字通道,而一个安全系数很低的路由器可以让网络攻击者很容易地访问你网络中的所有智能家电设备。例如,今年6月,杭州的胡女士发现她家的摄像头未经操作,自己在动。她登录手机客户端,发现只绑定了她一个用户的摄像头,竟有两个用户同时在线观看。今年8月初,重庆的黄女士在使用家中摄像头时,也发现装在天花板上的摄像头自行转动。她用电脑后台查看,发现除了自己的账号,另外有陌生用户在观看此摄像头。
用户应该在具有良好安全记录的路由器上投资,确保默认的管理密码已经更改,并且运行当前的固件。
防止篡改设备
根据安全公司Synack的研究,使用智能家电设备两分钟,并没有给攻击者足够的窗口来修改设备。不过,带有USB更新机制的设备很容易受到快速入侵的影响。
家庭用户应该把设备放在别人无法轻易访问的地方,特别强调有管理端口的设备。
使用云服务
云服务旨在帮助消费者管理家庭自动化设备,如Vivint、ADT或类似的服务提供商,通常需要花钱,如果没有得到妥善保护,就会导致隐私和安全问题。然而,在大多数情况下,服务提供者比家庭用户能够更好地保护服务。如果您不使用云服务,您将负责检查系统的安全性。
因此,消费者可以花一定的价钱,选择靠谱的云服务商,使他们的家庭自动化更方便、更安全。但是,用户确实需要选择复杂的密码,并且应该询问双重身份验证,这为访问帐户增加了另一层安全性。
更新设备
相对来说,许多为家庭自动化产品开发软件的开发人员在安全性方面都是新手。Kaspersky Lab的一名安全分析师David Jacoby试图侵入他自己的家,就在他的家庭存储产品中发现了一些简单的漏洞。
“开发商有借口说他们不是安全人员。” 他说,“但我们需要让供应商修补他们所了解的漏洞。”
他说,由于安全功能需要改进,应用更新是确保家庭自动化设备在最简单的攻击中保持安全的关键一步。
选择知名品牌
一家刚刚涉足智能家电的公司,将不会认真对待他们产品的安全问题。Synack的摩尔说,消费者应该关注那些致力于产品和产品安全的公司。
“你当然会比较希望站在身边的人,是一个有声誉的人。” 他说,“至少他们会站在他们的产品后面,不断推出更新。”
编辑:顾军
,