勒索病毒下一个目标是智能家电
勒索病毒下一轮攻击目标就是智能家电?这绝对不是危言耸听。目前,勒索病毒已经出现新的变种,并在一些网络安全保障薄弱的领域“蔓延”。
相对于个人电脑、笔记本、手机,在网络黑客面前,大量已经连接互联网,并借助物联网实现“万物互联”的智能家电,就是一只只可以任意宰割的“菜鸡”,其安全可靠性可以说是“弱不禁风”。
壹
近几天,勒索病毒WannaCry(永恒之蓝)在全球范围内的大爆发,再度刷新互联网时代所有国家、企业和个人的“网络安全认知”。
如今,智能家电、智慧家庭得到了快速推广和普及,并正在缺乏系统安全保障体系下“疯狂裸奔”。相关智能家电或者家庭物联网一旦被黑客盯上并攻击,人们衣食住行各类行为数据就会直接成为黑客勒索的工具。
据悉,这次全球爆发的WannaCry病毒,将攻击对象锁定在Windows、安卓和被破解的iOS系统,被攻击对象主要是未进行系统升级、未开启防火墙、未使用安全软件的用户。目前智能冰箱、智能电视是安装操作系统最多的智能家电产品,而他们的系统主要以安卓为主,相对于苹果系的iOS和macOS,安卓和Windows都是“开放派”。
虽然安卓系统对安全软件持开放态度,但是安全软件属于第三方应用范畴,权限严格受限。从目前来看,基于安卓系统的物联网智能家电,未来很可能成为黑客攻击的首选目标。
贰
不同于电脑,智能家电的网络防火墙是掌握在硬件厂商手中的。以安卓为例,智能家电的硬件设备与系统是高度捆绑在一起的,用户参与度很低,缺乏安全防护意识,完全相信厂家。
因此智能家电无论是系统升级还是打补丁,完全取决于硬件厂商的态度。也就是说,如果家电厂商缺乏相应的意识,那么智能家电的安全性基本上就为零。
相对电脑的交互性强,很多用户经历大量的病毒事件后,都会主动为自家电脑安装杀毒软件和防火墙,并自动进行定期的更新。当前智能家电最大问题,就在于用户交互性偏弱,特别是对于大量的智能白电产品来说,很多用户只是停留在使用阶段,根本不清楚还需要安装杀毒软件和防火墙。
即便是一些用户有安全意识,也不知道如何给家里的智能冰箱、空调和洗衣机安装杀毒软件。这造成当前大量智能家电安全性体系的缺失,甚至在遭遇黑客攻击时全然不知,导致用户个人的信息数据,被默默窃取。
同样与PC企业相比,家电企业长期以来就是“卖单机”思维,在家电产品上从来没有“推广、指导、使用”杀毒软件的意识。智能家电在市场推广的4-5年间,没有一套完善的杀毒安全系统体系成形。一是作为用户后盾的家电厂商没意识或不清楚;二是从安全保障角度很多家电厂商没办法或没手段。
过去两年来,三星、LG等品牌的智能电视在美国遭遇多起黑客攻击,轻则电视变砖,重则导致大量用户的隐私泄漏,引发了企业对整个智能家电体系安全性的质疑。虽然这敲响了家电厂商在智能时代的安全性警钟,却未能真正引发相关企业的重视。
叁
当前绝大多数智能家电的操作系统维护,是由家电厂家无偿提供的,但很多企业重视硬件销售、忽视对系统软件的管理和维护。虽然这几年来,一些家电企业也在与专业的互联网安全解决方案供应商合作,寻找智能家电的安全解决之道,但是进展缓慢。
智能家电系统的多样化是重要因素,相比手机、电脑,目前用于智能家电操作系统的发展,还处于初级阶段,新系统层出不穷,举例来说LG使用的是基于Linux的webOS系统,三星使用的是其与英特尔共同开发的Tizen系统,还有一些未安装交互屏幕的家电,要么直接把早期的安卓手机系统拿来使用,要么干脆直接与企业云端相连。
这样一来,智能家电的安全软件开发商无法做到统一的部署和开发,甚至没有侧重点,这使得许多智能家电无安全软件可装,只能寄希望于系统自身的防护,尤其是直连云端的家电,一旦企业服务器被攻破,用户数据根本无法保障。
当前智能家电的不安全因素,一方面是病毒或黑客对智能家电等设备的主动攻击,另一方面是用户对系统和硬件的非正当使用。以WannaCry为例,实际上微软早在今年3月,就通过自动更新的形式,帮助Windows用户填补漏洞,但前提是系统开启了自动更新和防火墙。由于盗版系统用户担心开启这些功能会遭到微软封杀,常年铤而走险,最终遭到黑客攻击。
与设备绑定的安卓系统虽然不存在盗版问题,但仍有许多用户对“升级提示”置之不理,甚至根本不知道电视、空调、冰箱等操作系统升级的意义在哪。另外系统中应用程序商店种类繁多,平台对上传的软件审核力度各不相同,一些新奇的软件通常在官方或知名应用商店中上架较晚,用户为了尝鲜,通常寄希望于小型应用市场,导致风险加大。
在智慧生活时代,智能终端之间的“万物互联”将成为常态,其终端数量将是以十亿、数十亿,甚至是百亿规模。在这种情况下,如何培养用户的安全意识,是政府、企业必须思考的问题。
值得注意的是,当前随着智能家电的快速普及并进入千家万户,大量年轻用户对行为数据的被收集也会更加谨慎。由此带来的智能家电操作系统的升级维护服务,定会成为一大卖点,甚至有可能被强制加入产品售后服务标准中!