智能家居的 “撞庫” 風險
隨著技術進步和聯網電子設備價格的下降,擁有聯網智能家居的成本也越來越低。安置在房間各處和集成到家電中的傳感器,可為屋主提供遠程監視和管理家居功能的便利。
Rehman & Manickam 發表于2016年的論文指出,智能家居包含三個部分:室內、室外和門戶。室內環境由物理聯網設備組成,比如智能門鎖、視頻門鈴、智能家電、WiFi恒溫器等。室外環境保障接入智能服務提供商以進行遠程訪問與管理,而門戶設備則充當室內與室外環境的橋梁。基于上面描述的幾種角色,在評估智能家居固有風險的時候,這三種組件都必須納入考慮。
智能家居如今面臨的風險
當今世界,智能家居面臨六大主要安全風險:竊聽、重放攻擊、消息通知、拒絕服務、惡意代碼,以及假冒攻擊。我們不妨看看各種攻擊的運行機制:
1. 竊聽
就是攻擊者未經用戶授權即監視室內和室外環境的互聯網流量。監聽期間流經該網絡的數據就會落入攻擊者囊中。這類攻擊破壞的是智能家居環境的機密性。
2. 重放攻擊
指的是攻擊者捕獲智能家居設備執行的動作,然后重放該動作以得到相同的結果。重放攻擊執行方式多樣,比如竊聽、捕獲某動作的網絡流量再重新發送該網絡流量給設備。如果智能家居擁有語音助手,捕獲已授權用戶的命令語音再重放給智能音箱,大多數情況下都能繞過聲紋鑒定。
3. 消息通知
是攻擊者捕獲流量,然后修改消息中的參數和數據,惡意篡改既定動作。
4. 拒絕服務
攻擊可使智能家居設備宕機。某些智能家居安全設備在斷電或連不上互聯網服務時會自動處于開放狀態。如果你的智能門鎖突然斷開與智能家居提供商的連接,而作為安全措施門鎖自動解鎖的時候,就可能會引發一些問題。因消防安全規定要求,帶故障自動打開功能的商業智能門鎖越來越常見。另外,智能家居互聯網連接拒絕服務有可能造成很多設備的安全功能都無法運行。比如說,屋主使用視頻攝像頭系統在云端存儲錄像,如果沒有互聯網連接,攝像頭就無法存儲錄下的視頻,入侵者只需引發互聯網連接掉線就能從安防錄像中完全消失。
5. 惡意代碼
利用智能設備固件和軟件中的漏洞,是選擇恰當智能家居技術時應該考慮的一種威脅。如果智能設備的固件不經常更新和修復,攻擊者就能利用已經存在的漏洞和公開的漏洞利用程序獲取該設備的訪問權。由于大多數智能家居設備都要求互聯網連接,越來越多的提供商要求開啟自動更新以防止設備在未更新的情況下被使用。智能家居設備的持續安全更新由制造該設備的公司提供。
6. 假冒攻擊
是指未授權攻擊者被當成合法用戶加以授權攫取利益。2018年,兩名安全研究人員采用運營關鍵威脅、資產、及漏洞評估框架(OCTAVE)識別智能家居的網絡安全風險。他們的分析中,智能家居面臨的高風險,就是因攻擊者擁有作為合法用戶的所有控制而對智能家居系統進行的未授權訪問。
然而,除此之外,還有一種攻擊是我們上面還未討論到的。在數據泄露越來越頻繁發生,之前的數據泄露聚集的數據在互聯網上大肆傳播的今天,智能家居未授權訪問的威脅可能是憑證填充攻擊,大批量針對數據庫的憑證填充攻擊又俗稱撞庫,指重用被黑憑證以獲取對賬戶和服務的未授權訪問。由于其執行難度低,成功率高,且泄露數據廣泛可用,憑證填充攻擊正成為智能家居安全及隱私方面的重要問題。
憑證填充風險已成為公司企業的負擔,因為他們試圖跟上并保護其用戶,抵御舊口令及其變體的重用。Braue今年援引多個來源以證明憑證填充是一個嚴重的威脅。作為回應,安全行業正提升其對口令重用攻擊的響應。比如說,Nest發現近期數據泄露中含有客戶的口令時,便鎖定用戶賬戶直到其口令有所修改才解鎖賬戶;這一做法便受到了安全社區的廣泛贊譽。
保護智能家居免受數字威脅
智能家居用戶應選擇能夠提供技術性安全控制以防止授權攻擊的技術,比如雙因子身份驗證。越來越多的供應商都將雙因子身份驗證作為一項保護賬戶的可選安全功能,但并未默認啟用。使用雙因子身份驗證可使智能家居服務大幅降低未授權訪問的風險。任何情況下都應啟用雙因子身份驗證。
選擇成熟且信譽良好的公司所生產的智能家居技術也很重要。成熟廠家不僅會更好地支持你的智能家居設備,也更有可能提供軟件更新,增強你設備的安全性,并更好地防止未授權訪問。這些資金充裕的公司更不容易被黑,也安排有員工為用戶提供保障。選用雜牌智能家居產品簡直就是在邀請災難入住。為了省幾塊錢而犧牲自家的隱私和安全不是大多數人愿意承受的。
管理性安全控制可用于修改智能家居用戶使用憑證的過程。一些簡單的策略,比如從不重用同一個口令,在其他安全的地方存儲口令等,也可以降低憑證填充的風險。為每一個服務都設置一個獨特的口令很耗時間也難以記憶,所以,采用口令管理器就是一個不錯的策略。用于智能家居的所有口令都應超過這些服務的最低復雜度要求。保護智能家居用戶免受憑證填充危害的方式就是采用名為 “Password Checkup” 的谷歌Chrome擴展。這一最近發布的工具會在檢測到有人采用已泄露的用戶名和口令對時發出警報。
智能家居用戶面臨的最大風險是智能家居系統未授權訪問。綜合采用口令管理器之類技術性安全控制,啟用雙因子身份驗證和谷歌 Password Checkup 工具,再結合管理性安全控制,可以大幅降低擁有智能家居的風險。治理口令使用以保證憑證不被重用且符合復雜度要求的管理性控制,使終端用戶能夠更好地保護自身,且不僅僅是智能家居服務可用,其他所有需要身份驗證的服務都可用。
選用靠譜的智能家居提供商能夠支持、處理和看顧你的信息,提供持續的產品更新。隨著越來越多的用戶開始發現自動化家居設備的價值,智能家居行業逐漸呈現欣欣向榮的狀態。智能家居數據分析的進步發展正在減少家居持有的成本,令用戶能夠最大化取暖和降溫等可變成本的結余。
Rehman & Manickam 的論文:
https://www.worldscientific.com/doi/abs/10.1142/S0218539316400052
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
