智能家居设备泄密家里的摄像头正在看着你
前几天去一家企业做安全培训,闲聊时一位部门负责人跟我说,他家装了六七个智能摄像头,看孩子、看老人、看宠物,还有门口的可视门铃。说这话的时候他带着一点自豪,觉得自己的家很智能很安全。我问他这些摄像头的数据存在哪里,他说大概在云端吧,没仔细研究过。我又问他知不知道这些摄像头有没有被人远程看过,他愣了一下,说不至于吧,谁会看我家啊。
这种心态其实很普遍。大家觉得自己的普通生活不会有人感兴趣,于是对智能设备的安全性没那么在意。但从安全从业者的角度看,恰恰是这种普遍的不在意,让智能家居设备成了一个巨大的数据泄露风险口。
智能摄像头是其中风险最高的设备之一。它的功能就是采集视频画面,然后通过网络传输出去,要么存到云端的服务器,要么存到本地的存储卡。如果设备的默认密码没有修改,或者固件存在安全漏洞,攻击者就可以远程访问摄像头的视频流。这种事已经发生过很多次了,有些境外网站甚至专门收集可公开访问的摄像头画面。
智能门锁也经常出问题。为了远程开锁、临时密码分享这些便利功能,智能门锁需要联网,需要与手机App通信。联网意味着有攻击面。安全研究人员发现过不少漏洞,有的通过蓝牙低功耗协议可以拦截开锁指令,有的通过云平台接口可以暴力破解用户账号,还有的智能门锁直接把用户的密码以明文形式存储在数据库里。
智能家电的安全问题同样不容忽视。现在的冰箱、洗衣机、空调、烤箱都在变得越来越智能。它们内置了WiFi模块、操作系统、麦克风甚至摄像头。一台智能冰箱可能不存什么敏感数据,但如果它被黑客控制,就成了攻击者进入家庭网络的一个跳板。从冰箱入侵到路由器,从路由器再入侵到电脑和手机,这是一条非常清晰的攻击链。
智能家居设备另一个棘手的问题是固件更新。很多设备出厂之后几乎不会收到任何安全更新。厂商把设备卖出去之后就不怎么管了,客户用了一两年,固件里已知的漏洞越来越多,但就是没人来修。有些厂商倒闭了,设备直接就变成了没有安全支持的孤儿设备。
对于企业来说,员工在家使用的智能设备其实也是公司安全边界的一部分。如果员工用连接着各种智能家居的同一台电脑处理工作文件,或者在家里通过相同的WiFi登录公司系统,那公司的数据安全就受到员工家庭网络安全的直接影响。一个不注意安全的智能门铃,可能成为攻击者进入公司内部网络的通道。
怎么降低智能家居设备的泄密风险呢?建议从这几个方面入手。首要,购买设备时选择有良好安全口碑的厂商,关注他们是否有持续的安全更新支持。第二,收到设备后立即修改默认密码,使用强度足够的独立密码。第三,检查设备的数据收集和分享设置,关闭不必要的云端功能。第四,做好家中网络的隔离,可以把智能设备单独放在一个访客网络或者IoT专用网段里。第五,不需要时尽量关闭摄像头和麦克风功能。第六,对于企业来说,可以给员工提供一份家庭网络安全指南,让大家了解基本的防护知识。
