作者： Sylvie Barak 隨著各種產品和平臺的相繼推出，家居自動化系統(tǒng)也變得越來越智能，互聯(lián)性越來越高。當然隨著更多的智能家居接入網絡，我們的日常生活也變得越來越方便和高效。然而別人也更加容易的訪問它們，這就出現了安全問題。 圖1：隨著越來越多的智能家居介入網絡，別人也更加容易侵入它們 盡管智能家居帶來的好處是顯而易見的，但是更重要的是用戶開始意識到它們需要放棄一些東西，那就是數據。 人們都知道他們的數據是有價值的。不同組織因不同的原因用戶數據對于他們來講用途也不盡相同，對用戶的危害也不同，有的讓用戶微微不安，有的讓用戶毛骨悚然，有的則完全影響用戶的人身財產安全。 舉個例子，智能家居平臺在任何時間都會知道哪個家庭成員在家，它會調節(jié)合適的溫度并且設置好用戶喜歡的照明風格，但是對于平臺設備供應商而言知道這個數據，他們就可以利用這段時間在用戶的智能TV上推廣各種廣告。 先例已將發(fā)生過了，大約10年以前電信公司將家庭的互聯(lián)網使用數據（能夠表明有人員在家）出售給電話銷售公司，這樣他們就可以給潛在顧客打電話，在這段時間內用戶一般都會接電話?，F在想一想一個全面聯(lián)網的智能家居系統(tǒng)讓各種銷售公司能夠多門簡單及準確的向用戶推銷商品。 三星公司最近承認它們的智能電視會保存你的聊天記錄。真的是令人毛骨悚然，這家公司的小字條款表明其智能電視的語音識別系統(tǒng)不僅會捕捉用戶的私人會話而且還會把數據傳送給第三方。按照它的解釋，三星公司說他們使用消費者隱私數據“非常嚴謹”，并聲稱它們的所有智能電視都采用工業(yè)標準安全防護和實踐，包括數據加密，保護消費者私人信息并且阻止未經授權的信息采集和使用。 當然無論怎樣一些竊賊都能夠侵入智能家居系統(tǒng)，從而知道是否有家庭成員在家，這樣就竊賊就可以選擇合適的時機侵入用戶家庭。 “我們增加的每一個智能家居設備都相當于增加了另一扇門或者窗戶，沒有合適的安全防護機制，相當于鎖是不存在的?！盓covent公司聯(lián)合創(chuàng)始人Dip Patel說道。Patel首先提出智能家居設備缺少安全特性，折讓家居所有者很同意收到攻擊，而家居網絡和設備就是攻擊的工具。 “如今任何東西都可以很輕松的接入網絡，但是殘酷的事實是智能設備安全性差，容易泄露數據”，他又說道?！叭魏稳酥灰幸稽c計算機的知識就可以訪問家居網絡和任何一個設備” 圖2：當面臨安全問題時智能設備是無能為力的 Patel指出最近Symantec(美國軟件公司，賽門鐵克)關于智能家居系統(tǒng)（如智能恒溫器，鎖，燈泡，煙霧探測器，能源管理設備和中央樞紐）的一項研究調查結果“發(fā)人深省”。關于網絡互連嵌入式設備導致的入室搶劫可能性問題的深入研究報告可以在這里找到。 大部分設備上的安全問題不僅僅是嚴重的缺少，有的時候是完全不存在的。舉個恰當的例子，Symantec研究發(fā)現有五分之一的設備不會對通信進行加密，很多設備在用戶嘗試多次密碼后不會鎖定攻擊者。 Zach Feldman是紐約編程與設計研究院的聯(lián)合創(chuàng)始人和學術總監(jiān)，他說道他個人使用了很多智能家居產品。Feldman聲稱盡管他使用的大部分產品安全性都比較好，使用OAuth2驗證來管理訪問控制權限，所有入站與出站的流量都采用SSL加密，但是一些編程新手調試他們的設備并將他們的代碼上傳到網上，暴露了API秘鑰和其他敏感的身份驗證數據。如果采用了錯誤的秘鑰，那么一些有趣的異常的情況可能就會發(fā)生。 Feldman繼續(xù)解釋道如果某人找到了他的房間API秘鑰，那么他可能就會被鎖在房間內，要么挨熱要么受凍。唯一能組織入侵者的方法只能是撤銷或者改變秘鑰，當然這可能需要一定水平的意識和技術能力。 Feldman的假設也不是不無根據，近期一個Reddit網站的用戶爆料他是怎樣報復他的前女友，通過控制前女友家里的恒溫器，不斷增加室內溫度，當時他的前女友和愛人都不在家，當他們回家后又要降低溫度，這樣他們的電費賬單就增加了。 盡管溫度入侵看似的煩人的但是大多數情況下是不會造成傷害的，Feldman說智能家居設備中他最擔心的就是他的“八月智能鎖”被入侵，它是一個物聯(lián)網應用鎖。他說道“如果你回到家感覺屋內要么過冷要么過熱，你應該察覺你的房間被黑客使用正確的API秘鑰入侵了，你可以利用秘鑰分析被黑客入侵的漏洞?！背送馑o入侵自己智能家居組件的人的建議是確保使用環(huán)境變量保存敏感驗證信息，而不是采用硬件加密。\ 這些對于懂技術的人員來講都很好理解，但是對于那些對技術知識一點兒也不懂的人來說，難道要建議他們買最新推出和“最偉大的”小發(fā)明已增加用戶家庭成員們的安全感嗎？ 家居科技專家Lisa Hoffman說道，一些大問題的發(fā)生都是因為用戶DIY智能家居系統(tǒng)，用戶安裝攝像頭或者鎖卻忘記了相關信息?！氨M管制造商給用戶發(fā)送了郵件提醒他們相關問題，告訴他們安裝更新，他們很忙并沒有進行更新。如果圍欄有個大洞或者門上沒鎖，他們都會修復它，但是用戶通常不能直觀的看到安全風險的存在，直到一切都太晚了，他們才意識到其問題所在?！? 可能最可怕的關于智能家居設備出錯的故事就是辛辛那提（美國城市）的一對夫婦家中的嬰兒監(jiān)控攝像頭被入侵了，并且被一個虛擬的入侵者所控制。 圖3：嬰兒監(jiān)控攝像頭被虛擬入侵者控制，并不斷發(fā)出聲音“醒醒，寶貝！” 當時辛辛那提這對夫婦感到非常的無助，半夜他們聽到一個成年男性的聲音從他們女兒的房間里傳出，趕緊沖進去，他們發(fā)現這個攝像頭正朝向他們，而這個“入侵者”叫喊著“醒醒，寶貝”以及一大堆臟話，荒謬的是這個設備起初是想讓父母放心的他們的孩子的，現在情況卻完全相反。 美國政府已經開始關注這個問題，聯(lián)邦貿易委員會（FTC）宣稱要更好的進行行業(yè)監(jiān)管，并且新設置了一個消費者權益保護部門——技術研究和調查辦公室，主要負責監(jiān)督所有智能設備，從Apple Pay到智能家居。 政府是否能夠跟得上智能設備推出和更新的步伐還是值得高度懷疑的。 Ashley Schwartau是安全意識公司（SAC）的創(chuàng)意總監(jiān)和生產負責人，他認為智能家居的潛在問題不僅僅是來自惡意入侵的黑客。 “假設你的所有智能設備都接入網絡并且連接上了你的智能手機的App——你可以控制你的照明燈光，音樂，電視TV，AC和網絡”。聽起來很棒，是不是？，你是控制中心，對不對？當你的手機死機不能響應你的命令了怎么辦？這就引出了信號響應失敗的問題，這就相當于把所有雞蛋放一個籃子里”，她說道。 所有專家都同意的是如果設備不合格很容易會被入侵，那么安裝這個智能家居設備就是沒有必要的，很顯然它不會給用戶帶來方面，反而是各種風險。 很多人相信智能家居的安全問題需要在設備和系統(tǒng)層進行解決，公司設計產品和采用云服務架構就需要從一開始就要考慮到安全問題，而不是出現問題后再去補救。 Hoffman說道避免被入侵的最好方式就是擁有一個安全的網絡系統(tǒng)，雇一個專門的負責人員，既要懂技術又要有較高的道德品質。IT網絡是智能家居的基礎，如果網絡都妥協(xié)了，那么自動化也就跟著妥協(xié)了。 (mbbeetchina)