客戶控制物聯(lián)網(wǎng)設(shè)備和瀏覽網(wǎng)頁(yè)時(shí),使用了同一個(gè)開(kāi)放無(wú)線網(wǎng)絡(luò)。只要在無(wú)線網(wǎng)絡(luò)范圍內(nèi),黑客可以輕易地實(shí)施攻擊。另外,由于酒店沒(méi)有對(duì) iPad 進(jìn)行認(rèn)證,黑客也能用筆記本控制其他房間的設(shè)備。黑客還可以在 iPad 上安裝木馬程序,實(shí)現(xiàn)遠(yuǎn)程遙控。
隨著物聯(lián)網(wǎng)的發(fā)展,我們將會(huì)迎來(lái)更加智能化的生活。不過(guò),物聯(lián)網(wǎng)也是一把“雙刃劍”,在更多的方便之外,它也帶來(lái)了新的安全隱患。這些聯(lián)網(wǎng)設(shè)備已經(jīng)成為黑客新的攻擊目標(biāo)。
在即將到來(lái)的黑帽安全大會(huì)上,西班牙黑客 Jesus Molina 會(huì)分享自己的發(fā)現(xiàn)。他現(xiàn)在為一家美國(guó)獨(dú)立安全咨詢公司工作。去年他在深圳的瑞吉酒店入住時(shí),對(duì)房間內(nèi)的操控系統(tǒng)產(chǎn)生興趣。今年年初,他特意去酒店住了幾天,找到了一些安全漏洞。通過(guò)這些漏洞,他能夠控制酒店 250 多個(gè)房間里的溫控器、燈光、電視、百葉窗,還有門(mén)外的“請(qǐng)勿打擾”電子燈。
瑞吉酒店向每個(gè)客人提供了 iPad 和電子管家應(yīng)用,用來(lái)控制房間里的各種設(shè)施,但是,他們使用的通信協(xié)議 KNX 不安全,沒(méi)有提供加密功能。“KNX/IP 協(xié)議不能保證安全,” Molina 對(duì)Wired 網(wǎng)站說(shuō),“因此,任何一個(gè)酒店或公共場(chǎng)所,如果在不安全的網(wǎng)絡(luò)上使用該協(xié)議的話,很容易使自己成為攻擊對(duì)象。”
更為糟糕的是,客戶控制物聯(lián)網(wǎng)設(shè)備和瀏覽網(wǎng)頁(yè)時(shí),使用了同一個(gè)開(kāi)放無(wú)線網(wǎng)絡(luò)。只要在無(wú)線網(wǎng)絡(luò)范圍內(nèi),黑客可以輕易地實(shí)施攻擊。另外,由于酒店沒(méi)有對(duì) iPad 進(jìn)行認(rèn)證,黑客也能用筆記本控制其他房間的設(shè)備。黑客還可以在 iPad 上安裝木馬程序,實(shí)現(xiàn)遠(yuǎn)程遙控。“我可以身在柏林,然后控制 iPad,讓它關(guān)掉酒店里的燈光。” 他說(shuō)。他還能在 iPad 上安裝惡意程序,讓它隨機(jī)選定時(shí)刻,開(kāi)關(guān)房間里的燈光和電視。
Molina 向酒店的安全主管報(bào)告了這個(gè)問(wèn)題。安全主管承認(rèn)了問(wèn)題的存在,并且說(shuō)他正在努力修補(bǔ)。不過(guò),這并不容易。酒店需要對(duì)全部系統(tǒng)進(jìn)行更換。Molina 并不確定他能夠控制多少設(shè)備。酒店確認(rèn)說(shuō),電子管家不能控制門(mén)鎖。同時(shí),他也了解到,其它的連鎖酒店使用了不同的系統(tǒng)。
Molina 發(fā)現(xiàn)的安全問(wèn)題,并不僅僅在酒店存在。目前,許多家用自動(dòng)化系統(tǒng)都使用了不安全的 KNX 協(xié)議。“人們使用這些協(xié)議并不是為物聯(lián)網(wǎng)構(gòu)建的,” Molina 說(shuō),“在無(wú)線的情況下,家庭自動(dòng)化使用 KNX 完全沒(méi)有道理。我們?cè)谖锫?lián)網(wǎng)上進(jìn)行的游擊戰(zhàn)會(huì)很危險(xiǎn)。對(duì)此,我不會(huì)輕描淡寫(xiě)。”