智能家居物联网安全遭威胁 路由器漏洞大
8月11日消息,据彭博社报道,物联网的危险性比多数人意识到的更大,黑客可以轻而易举地入侵几乎所有家庭的Wi-Fi路由器,这对于早期把灯泡和水龙头关联到一起的用户来说确实是个大问题。
最近,一位华盛顿的网络安全专家Gene Bransfield开发了一款名为WarKitteh的小装置。WarKitteh是一个搭载了Spark Core解密芯片、Wi-Fi无线网卡和GPS模块的猫项圈。Bransfield把这个项圈套在一只名叫Coco的暹罗猫上,然后让这只猫在邻居家附近漫游,同时记录下了周围可用的Wi-Fi网络。结果,这个猫项圈寻获了23个(超过总数的1/3)网络密码还在使用过时的WEP(有线加密技术)来加密密码,而不是采用最先进的WPA(无限上网保护接入)。
Bransfield计划在拉斯维加斯黑帽子安全大会上展示他的猫项圈装置。就职于美国中央情报局(CIA)风险投资部门的大会主讲人Dan Geer曾经称,家居路由器有机会被创建成一个由黑客控制的僵尸网络并造成网络崩溃。实际上,由于实验的缘故,路由器僵尸网络已经被成功创建。
最近在美国拉斯维加斯召开的DEFCON 22黑客大会,主题是挑战入侵路由器,名为“SOHOpelessly Broken”,“SOHO”代表了小型办公室和家庭办公室。据了解,成功展示一个在常用路由器中前所未知的漏洞,可获得奖金500美元和明年DEFCON的住宿奖励。在最近几年的安全会议上,如何攻破路由器的防护已经司空见惯。2011年,巴西的一群黑客攻破450万个Wi-Fi路由器,偷取了所有用户的个人信息,并获取了一些不义之财。
网络安全专家 Bruce Schneier指出,这些路由器一般采用的是廉价的组件和简单的编程,只要能正常运行就可以出售。制造商没有动力去更新固件,使其比它运行的硬件还要陈旧。既然制造商没有跟进这些设备,当路由器出售时,安装补丁的唯一办法只能由用户自行安装。
但如今存在于家用和小型办公室使用的路由器的漏洞已不再是一个大问题。除非有记性不好的用户把一些信用卡号码和未加密的密码保存在文件中,否则窃取一个普通家庭网络并无用处。对于攻击路由器而造成网络崩溃的僵尸网络,目前还只存在于那些有关国家之间网络战争的科幻小说里。
然而,当家里装满了如恒温器、烟雾探测器、水龙头、锁定器和灯泡等关联设备时,路由器的防御能力不足将会成为一个大问题。黑客们有可能很容易地入侵到家庭网络的中心,在智能家居设备上为所欲为:打开解锁——打开水龙头开关把房子淹了——给正在参加重要会议的用户发送警报。
Schneier认为,漏洞问题必须解决,这需要向嵌入式系统供应商施压,让他们设计出更好的系统。他呼吁路由器固件和第三方安全软件需要有自动更新的功能。然而这一切付诸实施都需要时间,另外还需要教会大量的终端用户如何操作。目前,多数用户只选择使用最便宜的Wi-Fi集线器,又或者使用由他们的有线电视运营商提供的路由器,这些供应商在保护设备安全上明显不感兴趣。
因此,只有等到路由器制造商被说服去重视安全问题的时候,用户才有机会去做维护安全的工作。这意味着可以避免智能家居的关联设备被恶意操作。如果使用智能家居的代价是冒着被黑客入侵后造成房子被淹的危险,那么用户还不如选择用手打开水龙头更加安全。