智能家居真的安全吗?
21世纪,拥有智能的并不仅仅是人——物品也能够实现智能化。智能设备的供应商以前所未有的规模使用了传感器、网络以及数据处理算法。软件和硬件在我们的日常生活中变得不可或缺。
物联网(IoT)整合了越来越多的内容:日常物件、可穿戴设备,住房,甚至是整个城市。然而,并不是所有人都了解这无处不在的物联网系统的存在,它的运作方式也并不透明。物联网无处不在,这使得其本身更加复杂,自然难以确保其安全性——即便是最用心的开发者也会犯错误;各个系统间的互动也会带来不可避免的问题。除此之外,身份验证、模糊测试、调试、四眼原则等其他方式虽然能够在一定程度上提高软硬件的安全性和可修复性,但它们本身也存在局限。
不仅如此,硬件本身的物理性质和传感器的特性对硬件的影响不能轻易解决。麦克风能够接受特定频率的声波,这就使得家用语音助手会受到“海豚攻击”——即用超声波模拟人类的声波。硬件造成的电磁辐射、热量或是噪音,都有可能被用来分析当前用量或加密密钥等信息。这些问题通常与代码无关,无法用增加补丁的方法来解决,因此很多硬件的缺陷无法弥补。传感器就是极具代表性的例子:传感器本身的作用仅仅只是完成从模拟信号到数据的转化,数据的输入即使不用接入互联网,也可以轻易地被操纵。
尽管安全问题普遍存在,但未来世界的建成环境将会由计算机、数据以及互联系统所组成。本文将分析这些趋势有可能造成的安全威胁,重点关注智能家居和智能城市。
智能化业界以及各国军方都对针对关键基础设施(如电网、通讯网络及设施等)的网络攻击保持高度警惕。然而,毫无意识的业主和开发者们常常大量使用安全性能欠佳的设备。然而,错并不在他们。网络安全是一个复杂的问题,这也正是为什么智能设备生产者、经销商以及政府实体应当发挥教育作用,让大众了解智能设备的潜在风险,也包括优势。
推荐阅读:
不知道你有没有过以下几种经历:
作为一个十分重视安全的房主,你在家里家外都安装了摄像头,防止小偷入室盗窃。然而,入门级的黑客——甚至仅仅只是一个会写脚本的小孩——都可以完全瓦解你的家庭安全体系。他们可以悄无声息地监视你家中的财产,选择家里无人的时候潜入进来,全部偷走。
不仅如此,安全性能欠佳、易劫持的物联网还会导致“僵尸网络”,通过发送海量信息使得第三方服务器“沦陷”。因此,即使是一台位于美国的智能冰箱,或是位于俄罗斯的摄像头——分布在世界各地的各种设备,都有可能被用来攻击其他区域的设备,比如在中国的服务器。如果不被恶意使用,特定的算力足够的智能设备还可以被用于加密货币挖矿,当你付电费账单时才发现用电量上升了。
作为精通数字技术的家长,你决定使用具有视频和音频功能的电子婴儿监视器,而非仅仅只有音频功能的普通监视器,方便你在夜间看护孩子。然而,智能、互联真的能带来更高的安全性能吗?最差的情况是,不仅仅是为人父母的你能够看到孩子,其他人也能登上互联网,甚至是暗网的看到相关直播。
显然,这戏剧化的例子里,婴儿监视器并不是唯一的“受害者”。任何设备,包括家庭助手、智能镜子或是其他具有摄像头、音响的设备系统,都会成为攻击的目标。泄露的私人音频、视频有可能会在互联网上传播,甚至会让你收到威胁邮件。
作为一个生活节约、注重环保的人,为了减少对生态环境的破坏,你也许会使用智能电表、智能恒温器、智能灯泡或是智能水龙头。除了像KNX这样的有线系统,常用的无线系统还包括Wi-Fi、Z-Wave以及ZigBee等。不幸的是,这些系统及其标准都有很多可供利用的漏洞,无法保证绝对的安全。因此,很多家庭电网都遭到了攻击,从而导致停电。
我们应该牢记这些风险。很明显,成功的攻击会造成极大的负面影响,如隐私泄露或是家里的智能设备无法运作等。很多地方都有可能成为互联互通的家庭智能体系的突破口。此外,针对网络基础设施的虚拟攻击很有可能对人们的现实生活带来极为严重的影响。
正如上述几个例子所提到的那样,智能设备的使用者、生产者、开发者以及其他负有责任的人关注设备的安全性极为重要。他们应当对通信标准、监视器的缺点有所了解,勤于参加补丁管理的管理,并即使停用已不支持的设备等过程之中。然而,最重要的是,政策制定者们需要慎重考虑,是否真的有必要增设智能物联设备。
如果你想要从智能生活中获益,你就必须像对待计算机一样对待这些智能设备:物联网智能设备和传统的笔记本电脑在体系结构、操作系统、程序、内存以及算力等方面有差异,但它们和计算机之间在本质标准上也存在一定的共通之处。
因此,硬件、软件易受攻击之处也和计算机类似。问题其实并不在于你是在智能设备上还是在老式的台式机上运行C语言寻找常见漏洞;关键问题在于,物联网的各个组成部分,无论是否具有智能的成分,都缺乏相应的保护。物联网没有防火墙,也没有防止恶意软件的机制,这使得其安全性极为堪忧。
因此,用户应该尽量避免购买廉价的智能设备。在完成购买之后,定期维护设备也十分重要。不仅如此,将智能设备所使用的网络与其他关键设备(如计算机、家庭服务器、网络附属存储以及包含重要隐私信息的手机)所使用的网络区分开也是十分重要的。
此外,软件的补丁也是十分重要的。大型智能设备或是联网基础设施的管理者无法在系统升级之后通过远程遥控给系统打补丁或是重启系统,因为这些系统需要保持不间断运行。关键的基础设施,如交通信号灯、监狱以及机场的安全系统以及医院里的医疗设备就是很好的例子。给系统打补丁是终端用户的职责。
系统被应用的越频繁,补丁和升级就应当越频繁。这样一来,终端用户的操作就变得更加繁琐,这就需要开发者给出更加友好的解决方式,尽可能减少对用户的现实生活造成影响。我认为,补丁管理、安全建议监控以及应急状况处理的重要性再怎么强调都不为过。
硬件、软件以及网络标准在不断发展,新的漏洞也随之出现。因此,我们不应该认为这一切所有的不便都是由技术进步所造成的——这样的认知过于二元,十分自大。相反,我们应该尽可能多地了解智能设备的潜在风险,谨慎选择高质量的智能设备,注重软硬件维护,学会补丁管理,给自己的智能设备再添上一层防护。
作者:Viktor Weber,未来房地产研究所创始人、负责人
以上内容仅代表作者个人观点。
本文由世界经济论坛原创,转载请注明来源并附上原文链接。
翻译:彭永康
责编:万鸿嘉
世界经济论坛是一个独立且中立的平台,旨在集合各方观点,讨论全球、区域及行业性重要话题。
不要错过关于此主题的更新
创建一个免费账户,在您的个性化内容合集中查看我们的最新出版物和分析。
许可和重新发布
世界经济论坛的文章可依照知识共享 署名-非商业性-非衍生品 4.0 国际公共许可协议 , 并根据我们的使用条款重新发布。
世界经济论坛是一个独立且中立的平台,以上内容仅代表作者个人观点。
实时追踪:
物联网
分享:
每周 议程
每周为您呈现推动全球议程的紧要问题(英文)
更多关于 网络安全查看全部
Filipe Beato and Jamie Saunders
2024年12月11日