移動互聯網時代智能家電安全隱患及對策分析

◆蔣 瑩 郝耀鴻

?

移動互聯網時代智能家電安全隱患及對策分析

◆蔣 瑩1郝耀鴻2

（1.廣州圖書館 廣東 510623；2.解放軍特種作戰學院 廣東 510502）

進入智能化移動互聯網時代，黑客攻擊成為重要安全隱患。本文從維基解密曝光的美國中央情報局智能設備監聽切入，重點分析智能電視入侵的基本方法和主要途經，并提出應對方法及安全策略。

智能電視；黑客入侵

0 引言

“你在看電視，而透過電視，也有人在看你”，這看似只存在于驚悚電影里的橋段卻成為了事實。前不久，維基解密網站爆出猛料，美國中央情報局（CIA）一直在秘密監控全球智能家電，讓其淪為美國情報收集的間諜和“內線”，手機竊聽、電腦監控倒不新鮮，因為大家都早有耳聞，而智能電視也難逃其手，這就讓我們有點措手不及。其實，毫不夸張的講，智能家居設備帶來的安全威脅遠遠超過易被入侵的計算機。那么什么是智能電視，它有何特點，在日常使用中存在哪些安全隱患，我們又應該如何應對呢？

1 什么是智能電視

1.1智能電視

簡單來講，智能電視就是一個大的平板電腦，之所以稱之為“智能”，就是因為它擁有自己的“大腦”——操作系統，就好比一艘航母，具有震懾力的是上面搭載的艦載機、雷達以及火控系統，但這些裝備都是基于航母這個大的平臺，皮之不存，毛將焉附，智能設備亦是如此，有了操作系統這個平臺，就能做許多事情，或者說許多應用就水到渠成，可以在智能電視上安裝App應用、升級系統版本、連接互聯網等等，基本上電腦上能做的事，智能電視都可以：有線電視、衛星電視、網頁瀏覽、視頻電話、家庭KTV、IP電視、視頻點播、數字音樂、節目錄制……因此，智能電視一經推出，就成為市場的寵兒，更是成為現在市場售賣的主體。

1.2智能電視的主要特點

（1）擁有硬件設備。較一般的電視硬件，智能電視具備高速的處理器和較大的存儲空間，為系統高效運行App應用的加載、數據的存儲使用提供保障。

（2）搭載操作系統。用戶可以在操作系統平臺上，自主安裝、運行和卸載App應用。操作系統是智能電視的核心部件，因此也是各大企業重點攻關、投入巨大的領域，目前市面上常見的智能電視操作系統包括Android、Windows、iOS及Linux等，而其中又以安卓系統應用最為廣泛 ，但就像它的“同胞兄弟”安卓手機一樣，由于其開源開放的特點，成為黑客攻擊和入侵的重點。

（3）接入互聯網。智能電視具備上網功能，有其網絡地址信息，可以接入無線WIFI，與Internet無縫連接。

1.3智能電視與網絡電視

智能電視和網絡電視是一回事嗎？當然不是。網絡電視是智能電視出現前的一個產物，其最大的特點就是能上網訪問、瀏覽網絡媒體資源，但其本質還是一個電視終端，無非是將網絡上的流媒體等數字資源播放出來，充其量具備無線網卡模塊，但不具備自己的操作系統，并不是一個“智能體”，而且網絡電視內容有限、拓展性差，因此和智能電視還差一代，如果智能電視算電視的3.0，那么網絡電視也就是2.0。

2 常見的智能電視攻擊手段

在“維基解密”曝光的CIA內部文件中，詳細描述了黑客對三星智能電視F8000系列（這款電視機在 2013 年發布，也是那一年三星的旗艦電視產品）的入侵行動，代號為“哭泣天使”（Weeping Angel）。用戶的智能電視被黑客控制后，后臺木馬程序會讓電視進入“假死”狀態（深度待機模式），用戶以為電視機關閉，其實后臺已經調用了麥克風，在悄無聲息中將房間中所有的對話錄下來，待下次用戶開機，接入無線WIFI后，錄音資料會通過互聯網傳至CIA服務器，資料顯示，CIA甚至打算利用攝像頭，開通智能電視后臺錄像功能，如果真是這樣，智能電視無異于是身邊的一個“超級間諜”。應該看到，這類工具對于智能電視有用，對于其他家用智能設備（家庭監控系統、WIFI路由器等）一樣管用。如果付諸于實踐，那將帶來嚴重的安全隱患。那么，一般家庭智能電視存在哪些安全隱患，可以通過哪些方法手段入侵呢？常見的方式有以下4種：

2.1無線WIFI入侵

未來的家庭智能應用，一定是以WIFI自組無線網絡為核心和載體的，因此一旦WIFI網絡被黑客攻占，任何與之相連的智能設備將被截獲。智能電視的網絡媒體應用是一大亮點，WIFI局域網更是智能電視的第一道保護屏障。黑客攻擊的一般步驟：

第一步：破解密碼、接入WIFI

黑客可以通過破解工具（如利用密碼字典進行暴力破解），想方設法獲取用戶WIFI密碼，接入到內部網絡。

第二步：掃描端口、尋找漏洞

黑客會在接入的局域網內進行端口掃描，所謂端口，就是計算機、智能電視等與外界溝通的窗口，IP地址如同一所大樓（**大廈），而要定位到具體的人，必須有門牌號（1024房），這就是端口起到的作用。例如發現5555端口在工作，那么這就是最佳切入點，因為安卓智能電視默認將該端口設置為“遠程調試端口”，即通過該端口可以進行系統安裝、升級、卸載等操作，本來是廠家為售后維修服務提供的遠程幫助通道，但也為黑客入侵提供了便利。這就好比我們的計算機用戶中，有來賓用戶和管理員等，來賓用戶權利最小，有些關鍵文件只賦予其只讀權限；而管理員則大不同，就像網管一樣，許多權限放開，可以隨意修改用戶賬號密碼，也可查看刪除系統關鍵文件。

第三步：按圖索驥、掌控系統

通過探測到的遠程服務端口（5555），連接到智能電視，這時黑客就可以隨心所欲、妄為無忌了，在系統內部安裝惡意軟件、植入木馬病毒、修改關鍵數據，更換頻道、惡意彈窗、關閉電視、癱瘓系統，甚至可以控制電視機的顯示內容。

例如2016年7月央視《新聞直播間》報道，北京的張小姐在家看電視時，畫面忽然出現一個心形圖案，并顯示求愛文字，事后調查，原來是由于張小姐自家WiFi被入侵，導致智能電視播放的內容別別人輕易控制，換成了所謂的求愛圖文，如圖1所示。

2.2 惡意代碼植入

如果WIFI入侵算是正面交鋒、強攻硬取，那么Web網站惡意代碼植入就是迂回包抄、劍走偏鋒了。我們知道，智能電視就像一臺計算機，其媒體資訊閱讀、視頻影音播放都必須通過瀏覽器訪問Web網頁，而黑客就利用了這一點。

圖1 WIFI入侵后

（1）搜索目標、攻陷服務器

黑客首先會對智能電視網頁服務器進行入侵，所謂服務器，也就是一個服務提供商（其實就是網絡上的一個終端，無非速度快、容量大、性能穩定），例如我們訪問百度頁面，首先在瀏覽器（IE、360、火狐等等）輸入對方網址www.baidu.com，這時并沒有在直接找百度，而是通過域名服務器解析出該域名對應的IP地址（163.177.151.109），因為計算機、互聯網是不認識什么字母、拼音的，它們只認識二進制的“0”和“1”，因此域名都是為方便人們記憶，需要經過一次轉換（如同手機查看聯系人姓名，找到其對應的電話號碼），之后瀏覽器才去按照IP訪問百度服務器，之后服務器將網頁信息傳送給瀏覽器，并以圖文的形式展示給訪問者。從中不難看出，服務器是智能電視網絡應用的提供者。黑客以服務器為目標，攻陷后，將惡意代碼寫入其Web應用中，待智能電視訪問。

（2）程序運行，木馬植入

安卓智能電視一般使用“android原生瀏覽器”訪問網站，而這種瀏覽器先天存在代碼注入、遠程代碼執行等問題，那么黑客將惡意程序代碼植入網頁中，一旦智能電視訪問頁面，將這些嵌入其中，并經過精心偽裝的惡意腳本程序就會秘密運行，并植入木馬病毒，進一步控制和入侵智能電視。

2.3 病毒木馬攻擊

智能電視具備外接接口，如攝像頭、USB接口等，而這些接口的存在就為病毒木馬的入侵留下了極大的安全隱患，例如類似于計算機“自動運行”病毒，黑客在智能電視讀入的文件中寫入“autorun”自動播放病毒，當智能電視默認讀取該文件時，病毒也就啟動，另外，智能電視在制作過程中也可能被預植入木馬后門，類似一些山寨手機出廠時就被植入惡意扣費程序。可見，任何智能手機發生過的安全問題，在智能電視上也會發生。

2.4 偽裝固件升級

通過智能電視固件升級的方式，誘導用戶下載更新“升級包”，達到木馬植入的目的，如偽裝成工作人員，進入用戶房間，將電視機刷入固件即可；另外，也可向用戶發送升級信息，偽裝電視機的升級提醒，引誘用戶對電視機進行系統升級。

3 防范措施與安全策

目前市面上的智能電視，基本都是基于開放式的安卓4.X平臺，是網絡攻擊的重點。那么哪些措施能夠盡量減少智能電視被入侵的幾率呢？

3.1 WIFI路由器安全

（1）要關閉路由器WPS/QSS（一鍵加密）功能，防止黑客暴力破解無線路由器密碼。黑客可以暴力破解一鍵加密的8位數字PIN。

（2）對登錄密碼的設置要符合安全標準，將特殊符號、大小寫字母、數字混合使用，WiFi密碼設置得盡量長一些，增加黑客破解的難度，切記不要使用路由器出廠時默認的登錄賬號密碼。

（3）如果智能電視使用中，搜索到附近有不設密碼的無線網絡時，千萬不要連接，防止中了黑客的圈套。

（4）使用路由器助手等安全管理軟件，及時攔截陌生可疑的設備接入WiFi網絡。

3.2 電視機安全使用

（1）電視機看完了或者不用的時候，直接拔掉電源，以防后患。

（2）智能電視關閉后，最好將WIFI網絡也斷開，切斷信息通信渠道。

（3）智能電視固件升級最好從官網下載，自己安全，盡量不讓別人安裝軟件。

（4）不用時，把攝像頭遮蓋起來。

（5）判斷自己電視是否中招的方法也很簡單，電視機的指示燈，在休眠和開機的時候是不同顏色的，如果遙控器關機以后，燈依然是保持開機的顏色，那么很有可能就中招了。

4 結束語

探討分析了智能電視被入侵攻擊的幾種方法，對其機理流程進行梳理，知其然，更要知其所以然，牢固樹立房間保密安全意識，提出應對智能家電安全隱患的幾種保護技術和安全策略。

[1]劉迎.智能電視信息安全風險探析[J].電視技術，2015.

[2]顧大龍.王立彬.智能電視的安全性分析[J].保密科學技術，2015.