黑客大會引發(fā)的物聯(lián)網(wǎng)安全風(fēng)險防護(hù)之道

　　研究人員在不久前的BlackHatUSA大會上，展示目前市場熱賣的智能恒溫設(shè)備如何會受到黑客入侵威脅。消費者逐漸被物聯(lián)網(wǎng)(IoT)包圍，日常生活中的嵌入式設(shè)備、家電都具備連網(wǎng)功能，而研究人員也證實，這種要求便利的連結(jié)性為設(shè)備同時也會遭受安全風(fēng)險，為使用者隱私帶來負(fù)面效應(yīng)。

　　在8月初于美國拉斯韋加斯舉行的2014年度BlackHat大會上，來自中央佛羅里達(dá)大學(xué)的研究人員GrantHernandez、YierJin，以及獨立研究人員DanielBuentello，對市場上熱賣的物聯(lián)網(wǎng)概念設(shè)備──NestLearningThermostat智能恒溫器重炮轟擊;三位研究人員證實，如果攻擊者能取得對該種智能恒溫器的實體接取機(jī)會，該設(shè)備就非常容易受到安全威脅。

　　研究人員們實際示范，攻擊者在不到15秒的時間內(nèi)就能把Nest恒溫器從底座上移除，并透過microUSB接口的纜線植入后門惡意軟件，而且恒溫器主人完全不會發(fā)現(xiàn)有任何改變;這種惡意軟件能讓Nest被用來當(dāng)做窺探使用者的工具，或是透過網(wǎng)絡(luò)攻擊其他設(shè)備，甚至竊取無線網(wǎng)絡(luò)憑證等等。

　　這種安全威脅對目前以及未來的Nest恒溫器使用者來說有何意義?就如同我們看到的DropCam網(wǎng)絡(luò)攝影機(jī)黑客入侵案例，攻擊者需要對設(shè)備有實體接觸，這表示歹徒得闖入你家，恐怕是遠(yuǎn)比恒溫器被植入惡意軟件更嚴(yán)重的威脅;不過研究人員設(shè)想了許多情境，表示Nest恒溫器可能被有心人士購買、植入惡意軟件、再退貨給商店，或者是被植入過惡意軟件的也可能透過在線商店被賣給特定的顧客。

　　而最大的問題是，如果設(shè)備被黑客入侵了，使用者是完全不會知道;防病毒軟件也無法在該類設(shè)備中執(zhí)行并搜尋惡意代碼;基本上，若要在不轉(zhuǎn)存內(nèi)存或分析設(shè)備硬件的情況下察知設(shè)備是否被黑客入侵，唯一方法就是監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量，或是觀察是否有異常情況出現(xiàn)──也就是在大多數(shù)家庭網(wǎng)絡(luò)中不太可能出現(xiàn)的情況。

　　你家的智慧恒溫器可能會被黑客入侵!

　　不過研究人員還是稱贊Nest恒溫器是一款設(shè)計精良的產(chǎn)品，到目前為止，這款設(shè)備的安全威脅仍僅限于透過USB纜線實體入侵;研究人員還在忙著尋找Nest網(wǎng)絡(luò)客戶端、服務(wù)，以及可支持遠(yuǎn)程利用的NestWeave通信協(xié)議是否有漏洞存在。透過存取設(shè)備上的檔案，以及藉由硬件后門取得與執(zhí)行程序互動的能力，恐怕黑客找到遠(yuǎn)程攻擊方法只是時間問題。

　　除了被當(dāng)作攻擊其他家用無線網(wǎng)絡(luò)上連網(wǎng)設(shè)備的“跳板”，Nest智能恒溫器還可能帶來其他安全威脅;研究人員表示，NestWeave通信協(xié)議也可能是一個脆弱的切入點。Weave是一個以802.15.4標(biāo)準(zhǔn)為基礎(chǔ)的通信協(xié)議，與Zigbee與WirelessHART類似，能讓Nest恒溫器與其他Nest設(shè)備通信，如NestProtect煙霧/二氧化碳警報器。

　　如何能防止黑客攻擊同樣具備以802.15.4通信協(xié)議為基礎(chǔ)之接口的設(shè)備，例如智能電表、遙控門鎖等等?這也是研究人員正在努力調(diào)查的部分。在大會發(fā)表專題演說時，上述研究人員們也詢問聽眾們是否會繼續(xù)使用Nest設(shè)備;其中一位研究人員Buentello表示：「盡管我們做了那么多研究發(fā)現(xiàn)它們可能有多么危險，我還是沒放棄它們、我家裝了兩個。

　　研究人員們總結(jié)表示，今日我們對于可接受之嵌入式設(shè)備所采取的行動與決定，將替未來三十年的產(chǎn)品設(shè)立標(biāo)準(zhǔn)。