财新传媒
位置:博客 > 达沃斯博客 > 物联网安全二三事

物联网安全二三事

*原文刊载于世界经济论坛博客,转载请注明来源并附上原文链接

我们生活在物联网时代的黎明阶段,带联网功能的消费类电子产品数量日益增长。设备从开关、门锁,到汽车甚至医疗设备不等,除了基础的功用以外,都以联网作为最大卖点。

互联网的便利性不言而喻,但是用户的安全和隐私又如何保障呢?如果心脏起搏器可以远程遥控,那病人岂不是很危险?迪克•切尼(Dick Cheney,美国副总统)的医生就很担心,副总统的植入式心脏除颤器会不会因其无线功能而成为刺客手中的利器。黑入互联设备是不是应判死刑?黑客们是不是可以通过这种方式发动大规模恐怖袭击?研究成果告诉我们,上述担忧并非杞人忧天。

你的车,他的手

当代汽车是与用户最具交互性的联网产品之一。现在许多车辆的基本功能模块,包括发动机和制动组件,都是通过电脑控制的。一些新型车辆也支持通过蜂窝网络和Wi-Fi进行远程无线连接。但是,高科技绝不代表高安全。

华盛顿大学(University of Washington)一个科研小组成功演示了如何遥控一台高度计算机化的车辆。除了偷听车辆成员之间的悄悄话之外,更可怕的是,他们能够远程控制车辆的制动和照明系统,而且还能让车辆在模拟主要公路上完全停止。经由制动、引擎及广播通讯组件等关键模块的系统漏洞,研究组从驾驶员的手中完全夺取了车辆的控制权。由此可见,物联网的安全隐患不言而喻。

这次实验唤起生产商和消费者们心头的疑问:安全与隐私,便捷与高效,孰重孰轻?有的汽车公司已经注意到问题的严重性,他们成立了网络安全部门应对挑战。但对于大多数生产商来说,功能设计上的你追我赶才是最重要的,安全问题往往成为亡羊补牢之举。

家庭安全

越来越多的家用电器设备通过互联网连接与操控,一种称为Z-Wave的无线通信协议成为其中的主流技术。两名英国研究者对Z-Wave的加密库(一种通过对接入家庭网的设备进行认证以确保其网络安全性的软件包)的漏洞加以充分利用,从而夺取家用电器设备的控制权,比如远程关闭报警器并开锁等等。Z-Wave技术的安全性体现在算法的隐秘性上,但研究者却能通过逆向工程破解算法并发现弱点。

华盛顿大学的研究组则通过另一个渠道破解Z-Wave:网络接口。研究组通过网络控制了所有接入Z-Wave控制台的家用电器,然后大肆恶搞一番,比如在大冬天关掉冷气,或者利用摄像头偷窥隐私。他们还发现,把节能灯(compact fluorescent lamp,CFL)和Z-Wave调光器进行连接会有安全隐患,因为节能灯在当初设计时并未考虑到会经由互联网遥控。研究组通过持续发送特殊信号使节能灯泡烧掉,由此产生的电火花将可能导致火灾。

研究组同样设想了大规模恐怖袭击的可行性。研究模型展示,鉴于家庭自动化设备已逐渐标准化,可在不同家庭中通用安装,恐怖分子通过自动化控制台的漏洞,将一整个小区的大功率电器同时打开,当家家户户的空调都在同一时刻自由咆哮时,变压器将因为巨大的过载而歇菜,甚至整个电网都将因此停摆。

利用黑客

完美的安全解决方案之一,是经由网络安全团体的帮助发现并上报制造商们没找出来的漏洞。如果物联设备的内部加密代码是开源的,那么网络安全团体就可以对其进行核查,一旦发现问题,便可以对代码进行升级修复。加密代码一开始可能到处都是漏洞,网络安全团体很容易就能赶在坏人前头将之一一发现并解决。可惜的是,这种做法并未被物联网界采用。

研究组利用的正是第三方供应商开发的家用电器Z-Wave网络接口。他们发现,即使家用电器生产商制造出一个高度安全的产品,而零售商通过重新包装一些第三方软件之类附加功能后,还是会导致漏洞产生。另外,用户的不当操作也是安全问题的诱因之一。这就是多层次安全解决机制的重要性所在,把破坏局限在单独的组件中,而不能让黑客牵一发而动全身。

渐进的危险

执法部门已发现,一个物联网漏洞正被利用。小偷通过扫描设备模拟遥控车钥匙信号开锁盗车。本文叙述的其他攻击行为虽有可行性,但现实中还不多见。因为种种原因,物联网危机尚未蔓延。针对家用自动化系统的攻击仍处于个别阶段,小区级的大规模攻击对黑客来说成本太高,因而这也是危机尚未扩大化的原因之一。

对于设备安全性的提高仍需多方努力,研究者、生产商和用户都必须意识到隐私、健康和安全可能会因互联性的提高而受到侵害。对于日益渗透私人空间的物联网世界来说,在不断提升便利性的同时,安全和隐私亦是缺一不可。

 

插图:Pat Kinsella

原文刊载于Phys, 翻译来自科学之家

作者:Temitope Oluwafemi是来自华盛顿大学电子工程系的博士



推荐 0