黑客是如何入侵和控制物联网设备的?
《连线》杂志报道称,安全研究人员曝光了物联网领域的诸多漏洞,从无线芭比娃娃到两吨重的吉普车大切诺基。安全公司企业家Chris Rouland表示,如今这些展示还比不上真实世界恶意的黑客。不过,曾运营着颇受争议的政府窃听承包商公司Endgame的Rouland已经转移至a其新的创业公司Bastille,该公司关注物联网安全,关注存在被黑客入侵的风险的数位物件。Rouland表示这些风险正在上升,“智能芭比都是这条杀伤链的一部分。”
以下就是2015年一些物联网安全受到攻击的事例:
联网汽车
今年7月,安全研究人员Charlie Miller和Chris Valasek永远地改变了汽车行业“车辆安全”的概念,他们展示了黑客能够远程攻击一辆2014款Jeep Cherokee,禁用其变速器和刹车。这一发现导致菲亚特克莱斯勒前所未有地召回140万车辆。
接着今年8月的黑客防御会议上,网络安全公司CloudFlare主要研究员、Lookout联合创始人兼首席技术官Kevin Mahaffey公布了一套他们从特斯拉Model S上发现的安全漏洞。据了解,他们通过笔记本能够黑进Model S仪表盘背后的网络系统,然后驱动这辆价值10万美元的汽车扬长而去——或者远程植入一个木马病毒,在汽车行驶过程中关掉引擎。在其他汽车上他们也发现了可远程进行物理访问的漏洞,即使没有进行测试。如今特斯拉已经发布了这些漏洞的补丁。
同样是在黑客防御会议上,安全研究员Samy Kamkarshowed开发了一款叫OwnStar的设备,它能够远程向一辆通用汽车植入拦截通讯的软件,这样黑客不仅能够对汽车进行定位、随意打开车门和解锁,还能启动引擎,偷车轻而易举。而且,Kamkar很快发现,类似的技巧在宝马和奔驰的应用程序上同样生效。几天后,加州大学研究员也展示了能够利用一种小型电子狗供进汽车的仪表盘来控制汽车的速度和加速度。
所有这些引人注目的黑客都是为了传递一种信号,“如果消费者没有意识到这是一个问题,他们应当向汽车制造商声讨。这可是最有可能杀人的软件漏洞。”这句话,不仅是要告诉汽车企业,也包括消费者和监管部门。
医疗设备
汽车并不是物联网安全中会致命的设备。关键的医疗器材和设备也存在软件和结构漏洞,让恶意黑客有机劫持和控制它们,造成致命后果。心脏病学家Dick Cheney,就一直担心攻击者可能会通过前副总统的起搏器来进行致命的攻击——黑客可以利用其办公室的WiFi禁用其设备。美国阿拉巴马大学的学生日前的实验证明了这个担忧的严重性。“我们可以随意提高心脏速率,或者是降低速率。”这个研究小组最后还把用作实验的机器人从理论上杀死了。
这些学生的实验虽然是基于对过去案例的研究,但确实地展示了未来存在着危机手段。
药物输液泵——往病人体内输送吗啡、化疗、抗生素和其他药物的设备,今年同样受到关注。网络安全研究员Billy Rios在一次紧急手术后对这些东西产生了好奇心,然后发现了惊人的秘密——这些装置存在着严重的漏洞,能让黑客远程控制药物剂量。
如今,负责医疗设备安全审批的联邦药品管理局已经注意到所有这些设备和已被发现的问题,且已经开始采取措施进行补救。但是,医疗设备的许多问题并不能依靠一个固定、简单的软件补丁来解决——相反,它们需要重新架构系统。然而,所有这一切都需要时间。
其他一切事物
当美泰儿公司给其产品Hello Barbie添加WiFi连接时,是为了给这个玩偶增加人工智能,能够进行对话,但是,该公司在Hello Barbie的智能手机应用上留下了欺骗和拦截所有音频记录的连接。三星的“智能冰箱”旨在让用户通过WiFi同步谷歌日历,但因为没有验证SSL证书,导致用户的Gmail凭证被盗窃。即便是婴儿监视器也存在着令人毛骨悚然的安全隐患:黑客攻击甚至比其他设备更容易。
甚至连枪支都难免于黑客攻击的风险。黑客夫妻 Runa Sandvik和Michael Auger今年7月演示了一个案例,他们可以控制无线TrackingPoint狙击步枪。改变步枪的变量系统、禁用步枪、错过目标,甚至让它击中其他的目标。
对于任何一类现已给定的消费产品,都会有至少一家公司迫不及待地要给它们加入WiFi接入功能。但事实上,能够保护接入WiFi后的技术,才是更重要的优先级研究项目。最重要的安全措施没有准备好,如何为消费者提供保障?