“Hello Dave.”
這句電影《2001太空漫遊》中高智慧電腦HAL的經典臺詞,出現在了Google旗下的恒溫器Nest的螢幕上。這並不正常。
上周,一組駭客在黑帽子安全大會上,當著幾百人的面,演示如何攻破Nest,並讓這句臺詞出現在了Nest的螢幕上。Nest的安全性漏洞,或許會讓人們放慢腳步,不再繼續快速奔向所謂的“物聯網”——讓所有電器設備連接互聯網。駭客演示攻破智慧設備的過程是今年的安全大會的重要主題,甚至還有人演示了如何黑智慧汽車。
“這就回到了一個主題,即我們在以方便之名使用這些東西時,犧牲了哪些東西?”中佛羅里達大學從事安全研究的學生,也是四名演示如何攻擊智慧設備的演講者之一的Daniel Buentello如此說道。“這類智慧電腦,用戶並不能為其安裝反病毒軟體。更糟糕的是,該設備有一個秘密後門,不懷好意者可以一直待在那裡。那該設備就真成了所謂的‘不被人察覺的旁觀者’了”
Nest根據使用者家裡的感測器返回的資料,判斷使用者是否在家,並在用戶在家的時候將室內溫度調節到符合使用者喜好的溫度。如果用戶下午不在家,Nest則會將供暖設備或者空調調成節能模式。正是這種貼心的功能,做得實在太好,因此Google在今年年初以32億美元收購了該公司。
“如果我是壞人,我會將你所有的資料流程導向我這邊,並嗅探這些資料,看看其中是否包含了信用卡的密碼等敏感資訊,”Buentello說道。“這很恐怖,因為如果你有一台電腦,你發現它有問題,你會拿去百思買維修。但是,你怎麼會想得到你的恒溫器也感染了電腦病毒呢?你想不到的。”
演示時,Buentello將一個USB連接到Nest,並將其調整到了開發者模式。完成這一步之後,他們就可以將自己的代碼載入到該設備。完成這一步之後,他們就可以讓Nest將資料傳輸給他們,用戶並不能察覺。駭客們能夠獲得該設備的最高許可權,並且想幹什麼就能幹什麼。
不過,他們並沒有演示遠端攻擊,而且他們需要與該設備發生物理接觸才能實現攻擊。當然,這也不難做到,比如你可以買一台Nest,然後給其裝上惡意程式碼,再放到eBay上去賣即可。智慧恒溫器,絕對不僅僅是一台恒溫器這麼簡單,它是用戶家用網路的一個節點,攻破其中一個節點,就意味著其它節點也有可能被攻破。
這是便捷的智慧設備時代,也是危機四伏的時代,建築可以被駭,車可以被駭,恒溫器也可以被駭。或許,在發明下一個智慧設備之前,我們應該停下我們匆忙奔向物聯網時代的腳步,想一想如何提高智慧設備的安全性。
0 comments:
張貼留言