導讀:當今世界,智能家居面臨六大主要安全風險:竊聽、重放攻擊、消息通知、拒絕服務、惡意代碼,以及假冒攻擊。我們不妨看看各種攻擊的運行機制。
隨著技術進步和聯(lián)網(wǎng)電子設備價格的下降,擁有聯(lián)網(wǎng)智能家居的成本也越來越低。安置在房間各處和集成到家電中的傳感器,可為屋主提供遠程監(jiān)視和管理家居功能的便利。
Rehman & Manickam 發(fā)表于2016年的論文指出,智能家居包含三個部分:室內(nèi)、室外和門戶。室內(nèi)環(huán)境由物理聯(lián)網(wǎng)設備組成,比如智能門鎖、視頻門鈴、智能家電、WiFi恒溫器等。室外環(huán)境保障接入智能服務提供商以進行遠程訪問與管理,而門戶設備則充當室內(nèi)與室外環(huán)境的橋梁?;谏厦婷枋龅膸追N角色,在評估智能家居固有風險的時候,這三種組件都必須納入考慮。
智能家居如今面臨的風險
當今世界,智能家居面臨六大主要安全風險:竊聽、重放攻擊、消息通知、拒絕服務、惡意代碼,以及假冒攻擊。我們不妨看看各種攻擊的運行機制:
1. 竊聽
就是攻擊者未經(jīng)用戶授權即監(jiān)視室內(nèi)和室外環(huán)境的互聯(lián)網(wǎng)流量。監(jiān)聽期間流經(jīng)該網(wǎng)絡的數(shù)據(jù)就會落入攻擊者囊中。這類攻擊破壞的是智能家居環(huán)境的機密性。
2. 重放攻擊
指的是攻擊者捕獲智能家居設備執(zhí)行的動作,然后重放該動作以得到相同的結果。重放攻擊執(zhí)行方式多樣,比如竊聽、捕獲某動作的網(wǎng)絡流量再重新發(fā)送該網(wǎng)絡流量給設備。如果智能家居擁有語音助手,捕獲已授權用戶的命令語音再重放給智能音箱,大多數(shù)情況下都能繞過聲紋鑒定。
3. 消息通知
是攻擊者捕獲流量,然后修改消息中的參數(shù)和數(shù)據(jù),惡意篡改既定動作。
4. 拒絕服務
攻擊可使智能家居設備宕機。某些智能家居安全設備在斷電或連不上互聯(lián)網(wǎng)服務時會自動處于開放狀態(tài)。如果你的智能門鎖突然斷開與智能家居提供商的連接,而作為安全措施門鎖自動解鎖的時候,就可能會引發(fā)一些問題。因消防安全規(guī)定要求,帶故障自動打開功能的商業(yè)智能門鎖越來越常見。另外,智能家居互聯(lián)網(wǎng)連接拒絕服務有可能造成很多設備的安全功能都無法運行。比如說,屋主使用視頻攝像頭系統(tǒng)在云端存儲錄像,如果沒有互聯(lián)網(wǎng)連接,攝像頭就無法存儲錄下的視頻,入侵者只需引發(fā)互聯(lián)網(wǎng)連接掉線就能從安防錄像中完全消失。
5. 惡意代碼
利用智能設備固件和軟件中的漏洞,是選擇恰當智能家居技術時應該考慮的一種威脅。如果智能設備的固件不經(jīng)常更新和修復,攻擊者就能利用已經(jīng)存在的漏洞和公開的漏洞利用程序獲取該設備的訪問權。由于大多數(shù)智能家居設備都要求互聯(lián)網(wǎng)連接,越來越多的提供商要求開啟自動更新以防止設備在未更新的情況下被使用。智能家居設備的持續(xù)安全更新由制造該設備的公司提供。
6. 假冒攻擊
是指未授權攻擊者被當成合法用戶加以授權攫取利益。2018年,兩名安全研究人員采用運營關鍵威脅、資產(chǎn)、及漏洞評估框架(OCTAVE)識別智能家居的網(wǎng)絡安全風險。他們的分析中,智能家居面臨的最高風險,就是因攻擊者擁有作為合法用戶的所有控制而對智能家居系統(tǒng)進行的未授權訪問。
然而,除此之外,還有一種攻擊是我們上面還未討論到的。在數(shù)據(jù)泄露越來越頻繁發(fā)生,之前的數(shù)據(jù)泄露聚集的數(shù)據(jù)在互聯(lián)網(wǎng)上大肆傳播的今天,智能家居未授權訪問的最大威脅可能是憑證填充攻擊,大批量針對數(shù)據(jù)庫的憑證填充攻擊又俗稱撞庫,指重用被黑憑證以獲取對賬戶和服務的未授權訪問。由于其執(zhí)行難度低,成功率高,且泄露數(shù)據(jù)廣泛可用,憑證填充攻擊正成為智能家居安全及隱私方面的重要問題。
憑證填充風險已成為公司企業(yè)的負擔,因為他們試圖跟上并保護其用戶,抵御舊口令及其變體的重用。Braue今年援引多個來源以證明憑證填充是一個嚴重的威脅。作為回應,安全行業(yè)正提升其對口令重用攻擊的響應。比如說,Nest發(fā)現(xiàn)近期數(shù)據(jù)泄露中含有客戶的口令時,便鎖定用戶賬戶直到其口令有所修改才解鎖賬戶;這一做法便受到了安全社區(qū)的廣泛贊譽。
保護智能家居免受數(shù)字威脅
智能家居用戶應選擇能夠提供技術性安全控制以防止授權攻擊的技術,比如雙因子身份驗證。越來越多的供應商都將雙因子身份驗證作為一項保護賬戶的可選安全功能,但并未默認啟用。使用雙因子身份驗證可使智能家居服務大幅降低未授權訪問的風險。任何情況下都應啟用雙因子身份驗證。
選擇成熟且信譽良好的公司所生產(chǎn)的智能家居技術也很重要。成熟廠家不僅會更好地支持你的智能家居設備,也更有可能提供軟件更新,增強你設備的安全性,并更好地防止未授權訪問。這些資金充裕的公司更不容易被黑,也安排有員工為用戶提供保障。選用雜牌智能家居產(chǎn)品簡直就是在邀請災難入住。為了省幾塊錢而犧牲自家的隱私和安全不是大多數(shù)人愿意承受的。
管理性安全控制可用于修改智能家居用戶使用憑證的過程。一些簡單的策略,比如從不重用同一個口令,在其他安全的地方存儲口令等,也可以降低憑證填充的風險。為每一個服務都設置一個獨特的口令很耗時間也難以記憶,所以,采用口令管理器就是一個不錯的策略。用于智能家居的所有口令都應超過這些服務的最低復雜度要求。保護智能家居用戶免受憑證填充危害的終極方式就是采用名為 “Password Checkup” 的谷歌Chrome擴展。這一最近發(fā)布的工具會在檢測到有人采用已泄露的用戶名和口令對時發(fā)出警報。
智能家居用戶面臨的最大風險是智能家居系統(tǒng)未授權訪問。綜合采用口令管理器之類技術性安全控制,啟用雙因子身份驗證和谷歌 Password Checkup 工具,再結合管理性安全控制,可以大幅降低擁有智能家居的風險。治理口令使用以保證憑證不被重用且符合復雜度要求的管理性控制,使終端用戶能夠更好地保護自身,且不僅僅是智能家居服務可用,其他所有需要身份驗證的服務都可用。
最后,選用靠譜的智能家居提供商能夠支持、處理和看顧你的信息,提供持續(xù)的產(chǎn)品更新。隨著越來越多的用戶開始發(fā)現(xiàn)自動化家居設備的價值,智能家居行業(yè)逐漸呈現(xiàn)欣欣向榮的狀態(tài)。智能家居數(shù)據(jù)分析的進步發(fā)展正在減少家居持有的成本,令用戶能夠最大化取暖和降溫等可變成本的結余。