智能家居不設防？

午夜時分，年輕的夫婦睡夢正酣，突然，一陣刺耳的聲音將他們驚醒。

夫婦倆沖進隔壁房間，那里是異聲的來源，也是他們剛滿10個月孩子的睡房。此時，嬰兒床上方的攝像頭正左右搖擺窺探四周，嬰兒監護器里則不斷傳出“小家伙快醒醒”的尖聲叫嚷，以及對年輕父母的咒罵。

這不是恐怖電影里的場景。2013年8月和2014年4月，美國已有兩對夫婦先后經歷了這樣的驚魂時刻。在黑客控制下，平時讓父母通過手機遠程照看嬰兒的智能設備，已經變成了他們的噩夢之源。

而這一切，還只是開始。

類似于嬰兒監護器這樣的智能家居設備，如今正在快速普及，給人們的生活帶來更多便利，但也給了黑客們可乘之機。他們可以窺探你的私生活，給你的生活制造些“驚喜”，甚至在某個未知的時刻，神不知鬼不覺地打開你家的電子門。

“一個更大的威脅已經被帶到我們面前。”中國計算機學會安全專業委員會主任嚴明說，木馬和病毒曾讓無數的電腦和手機成為充斥“肉雞”與“僵尸”的網絡，而現在，同樣的風險正向智能家居設備蔓延。

畫餅與盜鈴

智能家居產業到底有多大規模，一直沒有定論，但智能設備全部接入網絡的風險，卻是真實存在且日益加劇的。

最讓人警惕的一個案例，是2013年的心臟起搏器入侵事件。

當時，著名白帽黑客巴納比·杰克宣布，將在2013年7月的黑客大會上展示一項驚人的“絕技”：在9米之外入侵植入式心臟起搏器，然后發出命令，讓它釋放出電壓高達830伏，足以讓人瞬間致命的電流。

杰克聲稱發現了多家廠商的心臟起搏器存在安全漏洞，通過向服務器上傳惡意軟件，能使心臟起搏器和心臟除顫器感染電腦病毒。

大會開幕之前，杰克在美國舊金山離奇死亡，案件至今沒有調查結果。盡管如此，杰克的想法，已經讓一些安全業界人士意識到，設備聯網的安全風險可能比預料的更加嚴重。

然而，2014年1月智能家居在拉斯維加斯消費電子展上大出風頭后，業界對安全問題的擔憂被選擇性忽視了。谷歌32億美元巨資收購智能家居設備制造商Nest的消息，更是刺激了從業者的神經。

在那之后，幾乎很少有智能家居行業人士愿意談及安全問題，更多被提及的，是“千億產值”、“廣闊前景”、“巨大商機”、“美好未來”等詞匯。

2014年6月的一項智能設備創客大賽中，當《財經國家周刊》記者問及一家公司的參賽選手安全問題時，他顯然有些茫然，思考過后，他回答道，“產品安全我們肯定會保證，當前我們希望先把量做起來。”

“這其中的邏輯不難理解。”在深圳從事智能插座技術研發的劉闖說，“智能家居是一個正在快速膨脹的行業，如果你告訴你的用戶，它可能存在被別人控制的風險，誰還愿意買你的產品？”

脆弱的防線

劉闖是智能家居安全陣營的堅定支持者，他認為智能家居要真正走入尋常百姓家，產品就必須過安全關。

當然，最開始劉闖關注的安全，只是質量安全，比如電路和元器件質量是否過關。讓他開始關注起網絡安全的原因，是他從一些渠道獲知，某大牌廠商的智能插座，已經被黑客“攻陷”，只等銷量過萬，就準備玩一次“大停電”。

劉闖的公司規模和產品銷量還不足以引起黑客的興趣，但他覺得，如果自己的產品主打安全牌，將是進入智能插座市場的核心競爭力。

公司的另一位創始人姜波卻不太贊同劉闖的觀點。在他看來，術業有專攻，網絡安全的事情，應該交給專業的人來做，比如專門的網絡安全公司。

但這種想法在安全業界看來卻有點不太現實。不僅在國內，即使是全球，也還沒有安全公司專門針對智能家居設計安全攻防方案。

“不是大家不想做”，安天實驗室首席技術架構師肖新光說，“道理和工業控制系統一樣，產品形態和技術標準的多樣性，導致智能家居很難做通用的安全攻防方案。攻防層面的安全一定程度上依賴開發過程，通用方案并不能包治百病。”

而且，即使有安全公司“不辭勞苦”做出了一套方案，就現在的智能家居產業環境來看，有意識、有能力、有資金采用的智能家居設備廠商，也是寥寥可數。

劉闖認為，這就導致現在所有的智能家居產品，所依賴的網絡安全防護措施，只剩下無線網絡技術本身自帶的加密技術。

矛與盾

無線傳輸協議加密技術的安全性如何？資深黑客“老Y”評價說：“在民用領域和高手眼里，它就是一層紙！”

然而，智能家居要實現智能化，就必須利用互聯網絡實現智能學習、分析、控制和反饋，否則，智能將無從談起。

老Y告訴記者，無線傳輸技術的加密手段有幾個不同的層級，除了以往人們在路由器上見得比較多的WPE、WPA、WPA2之外，還有AES加密等被一些人稱為高級加密的系統。

但這些加密手段中，大多數都已經能被黑客快速攻陷，即使是少數高級加密系統，黑客也可以通過字典和撞庫等手段猜，很多用戶的密碼設置極其簡單，不是“1234”和“AABB”，就是自己的出生年月，很容易被破解。

“不要期望存在絕對的安全”，老Y說，“堅不可摧的盾，反而可能被利用，成為無堅不摧的矛。”

極路由技術副總裁康曉寧舉過一個例子，曾經有廠商推出過智能燈泡，可通過網絡進行開關，但它的通信密鑰是寫死的，看似鐵板一塊，實際上只要黑客破解得到地址，不需要入侵進入局域網，就可以隨意地遠程控制它；而且因為寫死了，所以除非用戶換一個燈泡，否則根本沒有辦法阻止黑客的再次行動。

在智能家居大潮之下，矛與盾的兩面性會永遠存在。面對這些問題，沒必要因噎廢食，但如果要盡情享受智能化科技給人類帶來的便利，國家在行政和法律規范上跟進、廠商從技術和意識上的未雨綢繆，都已迫在眉睫。