Trend Micro报告:智能家居太复杂 易引发安全风险
- 来源:千家网
- 2019/3/18 8:36:1234693
【中国安防展览网 智能家居】你的家中有多少个联网设备?根据TrendMicro的一份新报告显示,如果你拥有10个以上的设备,那么你就是在追求复杂性,这会给你带来负担,而不是让你的生活更轻松。对于任何家里有过多联网设备的人来说,这不是什么新闻,但这是一个很少被讨论的现象的一部分,它将影响智能家居市场的扩张范围和此类产品的安全性。
信息安全公司TrendMicro对智能家居的复杂性进行了研究,并于本周发布了一份报告,我认为这是业内人士必读的一份报告。这种复杂性还会影响到那些将联网设备部署到企业环境中的人员,尽管这些人员将有更多的资源可以利用。
该报告主要关注智能家居领域,TrendMicro将智能家居分为两类:种是针对那些专门构建的,因为它们采用专用的,有时是专有的协议,直接连接到房子。在这种情况下,可能需要连接每个房间和家中某处的服务器机柜,从而管理所有设备。另一类是更常见的,它是TrendMicro所谓的“附加式”智能家居。
跨国信息安全软件公司趋势科技(Trend Micro)使用Shodan搜索引擎来寻找可用的家庭自动化服务器。Shodan是一个可搜索公共互联网上连接设备的搜索引擎。
为了研究复杂的智能家居环境,TrendMicro为每一种类型的智能家居建造了一种,并使用两种不同的家庭自动化平台来控制它们。在德国,TrendMicro使用开源家庭自动化服务器FHEM和EnOcean等协议来管理70多台设备,将其作为一个专用智能家居的一部分。在美国该公司还增加了约30个联网设备,如Ecobee恒温器和Hue灯泡,以打造一个“附加式”智能家居。它使用home Assistant管理美国家庭,home Assistant是一款运行在专用电脑上的家庭自动化服务器,类似于树莓派(Raspberry Pi)。
智能家居拥有众多设备,并且依赖于连接到互联网的集中式集线器,因此容易受到各种攻击。这些攻击就像找到一个暴露的自动化系统一样简单,并使用传感器和摄像头监控家中的人,以及更复杂的攻击,包括创建虚拟设备并将其插入网络以欺骗系统。
令人不安的是,用户连接在一起创建例行程序或自动化的设备越多,系统出现故障或陷入某种攻击的可能性就越大。例如,如果我使用蓝牙或其他传感器在家中启用某种类型的状态检测,之后将其绑定到我的门锁定或解锁,黑客可能只是在我的在线自动化服务器中创建一个“看起来”像我的虚拟传感器,并且在此过程中,也可以锁定或解锁我的门。
TrendMicro也发现,很多自动化服务器都是在线的,可以向任何人展示设备。其中一些设备甚至可以远程控制。更令人震惊的是,当TrendMicro扫描这些服务器时,他们发现一些来自开源组织,也有一些来自商业供应商。
这意味着不仅仅是超级书呆子才会被曝光,为商业系统付费的小企业和消费者也可能面临风险,而这些相关的安全风险是令人不安的。
但我不在家时,别人可以通过传感器和通知监视我的家人,甚至知道他们什么时候离开家,什么时候锻炼,甚至什么时候洗完澡。老实说,这很恐怖,尽管他们知道我有这个权限,想象一下其他人可以看到所有这些东西,并在我不知情的情况下向例程中添加新功能或元素,这是很糟糕的。
那么,怎样才能阻止这种情况发生呢?TrendMicro采用了传统的方法,比如避免使用硬编码密码,定期更换密码,限制网络上的设备数量。不过,该公司也提出了一些我希望业界能更积极地推进的建议,比如确保每种设备类型都被分类,并为网络所知。这种可见性有助于让消费者了解他们的网络上有什么,但也有助于公司为特定的设备类型创建逻辑规则。
例如,某些设备可能需要一些规则来阻止它们与不由制造商运行的外部web服务器通信。本质上,随着这些网络变得越来越复杂,连接设备的控制在我们的安全和舒适的家中扮演着越来越重要的角色,我们将需要企业级的网络安全产品,这些产品的设计要考虑到消费者。
包括TrendMicro在内的公司已经在为智能家居打造这样的服务。Comcast刚刚推出了一款,Eero也提供了一款,消费者还可以从BitDefender和Cujo购买独立的设备。它无法满足人类对人工智能的需求,即帮助管理家中超过10台联网设备,但它将有助于确保这些设备的安全。(原标题:Smart home complexity is its own security risk;作者:STACEY HIGGINBOTHAM;编译:郑翊君)