智能電視、智能冰箱、智能路由器、智能空調(diào)……但凡你能想到的家居產(chǎn)品如今都慢慢被掛上了“智能”的字眼，然而這些智能設(shè)備讓人們感受到便捷的同時(shí)卻面臨著安全的挑戰(zhàn)。9月底的中國互聯(lián)網(wǎng)安全大會(huì)(ISC2015)上，北京華永興安科學(xué)技術(shù)有限公司創(chuàng)始人王英鍵現(xiàn)場(chǎng)演示了他的“黑”技術(shù)，并表示80%的IOT設(shè)備存在隱私泄露或者濫用風(fēng)險(xiǎn)。

　　圖：王英鍵現(xiàn)場(chǎng)上演各種智能家居產(chǎn)品破解術(shù)

　　“好用的智能設(shè)備不一定安全”，ISC2015數(shù)據(jù)篡改與物聯(lián)網(wǎng)安全論壇上，王英鍵從對(duì)一臺(tái)智能路由器的挑剔說起。在王英鍵看來，路由器是一個(gè)家庭的網(wǎng)關(guān)，重要性不言而喻。但從黑客的角度來看，若要發(fā)動(dòng)攻擊，也是通過路由器接入局域網(wǎng)，在此過程中，王英鍵發(fā)現(xiàn)這類設(shè)備存在著不少缺陷，攻擊者可以借此進(jìn)行竊聽。

　　王英鍵提出，80%的IOT設(shè)備存在隱私泄露或者濫用風(fēng)險(xiǎn)、80%的設(shè)備允許使用弱密碼、70%的IOT設(shè)備通訊錄沒有加密、60%的IOT設(shè)備web界面存在漏洞、60%的IOT設(shè)備下載軟件更新時(shí)沒有使用加密。

　　針對(duì)智能家居的安全現(xiàn)狀，王英鍵從黑客視角，介紹了普通采用的攻擊模式和方法。他介紹稱，針對(duì)傳統(tǒng)家電所謂的“智能化”，常見以設(shè)備的身份驗(yàn)證、傳輸過程中敏感數(shù)據(jù)加密與否、云端是否作了訪問控制等為攻擊切入點(diǎn)，通過重放攻擊、中間人攻擊等手段，以手機(jī)APP通過云端給IoT設(shè)備下發(fā)指令、或者IoT設(shè)備通過云端向APP回饋數(shù)據(jù)，即APP與云端的交互、IoT設(shè)備和云端的交互作為攻擊路徑。

　　這意味著，利用這些安全隱患，黑客可能輕而易舉的給隔壁老王制造惡作劇。通過侵入網(wǎng)絡(luò)，以手機(jī)控制設(shè)備就能接受電視信號(hào)，然后通過設(shè)備轉(zhuǎn)發(fā)控制電視，在家就能看到隔壁老王家的電視!除此之外，利用同樣的方式可以控制老王家的空調(diào)、幕布升降、打開車門，這些都不是事兒。

　　如果你技術(shù)過硬、如果你足夠調(diào)皮，還可以控制隔壁門鈴的頻率。通過設(shè)置一個(gè)固定碼，就能讓隔壁門鈴不斷響起，隔壁也會(huì)不斷的開門，如此循環(huán)，光是想想就覺得很酸爽。

　　王英鍵演示的這些“黑”技術(shù)看起來很搞笑，但實(shí)際上物聯(lián)網(wǎng)中普遍存在的弱口令、后門、漏洞等，一旦被不軌之人加以利用，小到個(gè)人生活、個(gè)人隱私安全，大到海量的大數(shù)據(jù)安全，甚至是人身安全都面臨嚴(yán)峻威脅，不容小覷。對(duì)此，王英鍵建議IOT設(shè)備開發(fā)者盡量做到安全編碼開發(fā)規(guī)范生產(chǎn)、設(shè)備固件簽名、強(qiáng)大完善的固件簽名、強(qiáng)大完善的復(fù)合身份認(rèn)證機(jī)制、源代碼審計(jì)等。

　　據(jù)悉，中國互聯(lián)網(wǎng)安全大會(huì)是由中國互聯(lián)網(wǎng)協(xié)會(huì)和360互聯(lián)網(wǎng)安全中心共同創(chuàng)辦于2013年，經(jīng)過3年發(fā)展已經(jīng)成長(zhǎng)為亞太地區(qū)規(guī)模最大、最具影響的網(wǎng)絡(luò)安全行業(yè)盛會(huì)。主題為“數(shù)據(jù)驅(qū)動(dòng)安全”的2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)9月29日~30日在北京國家會(huì)議中心舉行，在為期兩天的會(huì)議中，來自中國、美國、以色列、澳大利亞、韓國、新加坡等國家的120位全球頂級(jí)安全專家，在中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)、全球互聯(lián)網(wǎng)安全精英峰會(huì)和13個(gè)分論壇上圍繞110個(gè)議題分享最新的研究成果和行業(yè)洞見，深入交流全球信息安全最新發(fā)展趨勢(shì)，共同探討網(wǎng)絡(luò)安全行業(yè)未來。