智能家居中枢管理风险你家的控制中心被攻破了吗
有家公司曾做过一个测试,他们把不同品牌的智能家居中枢设备放在同一环境中测试安全性。结果发现,其中一个中枢设备存在一个非常严重的安全漏洞——攻击者只要知道设备的IP地址,就能直接通过网页浏览器访问设备的控制面板,不需要任何用户名和密码。更让人吃惊的是,这个设备在互联网上可以通过特定的搜索引擎直接搜到。也就是说,你家的智能家居中枢,全世界的陌生人都有可能访问和控制。
智能家居中枢是整个智能家居系统的核心大脑,负责连接和统一管理所有智能设备。灯光、空调、门锁、窗帘、摄像头、传感器,每一个设备都需要通过中枢来协调工作。正因为它处在核心的位置,一旦中枢被攻破,整个智能家居系统就等于完全暴露在了攻击者的控制之下。
中枢设备的安全漏洞类型比较多。常见的是固件层面存在的漏洞,有些厂商为了尽快把产品推向市场抢占份额,在软件安全测试方面投入不足。安全研究人员扫描过不少市面上流行的智能家居中枢固件,发现大量的已知技术漏洞,比如使用过时的通信协议版本、没有开启安全启动验证功能、开发和调试接口没有在生产版本中关闭。这些漏洞一旦被利用,攻击者就可以获得设备的高级控制权限,进而控制下面所有连接的智能设备。
云服务层面的安全同样是一个绕不开的大问题。智能家居中枢需要通过厂商提供的云平台才能实现手机远程控制和各种场景联动功能。云平台的安全等级直接决定了所有家庭智能设备的安全等级。如果云平台发生了数据泄露事件,所有用户的家居设备信息和配置数据都可能被泄露出去。更让人担心的是,如果攻击者攻破了云平台的用户认证系统,他们就能冒充合法用户的身份远程控制所有设备。
用户的账号密码管理也是一个薄弱环节。很多人在不同的网络平台使用完全相同的用户名和密码,一旦一个平台的账号被盗,攻击者就可以用相同的凭证尝试登录其他平台。智能家居的账户往往与手机号和电子邮箱绑定,而且拥有很高的设备控制权限。账户被盗之后,攻击者能做的事情非常直接——关闭安防摄像头、远程打开门锁、调高暖气制造异常、通过摄像头观察用户家里的一举一动。
建立一个可靠的安全使用习惯对提升智能家居中枢的安全性很有帮助。选购设备时尽量选择有良好安全记录和持续固件更新支持的品牌,避免购买价格过低的设备和来路不明的产品。安装使用之前立即修改默认的管理员账号和密码,设置足够复杂的密码并开启双因素认证功能。使用过程中持续关注设备的固件和App更新,及时安装官方发布的安全补丁。在网络层面,把所有的智能设备划分到一个独立的网络段,利用路由器建立单独的访客网络专供智能设备使用,与日常使用的电脑和手机网络真正隔离开来。定期检查家庭网络中已连接的设备列表和已授权的第三方应用,及时移除不再使用的设备和不认识的授权项目。
