智能家電的暴動

亞當(dāng)·皮奧利 劉欣

如果黑客入侵智能家電、家用監(jiān)控攝像頭，會發(fā)生什么？

物聯(lián)網(wǎng)是劃時代的科技，它讓我們的生活更加便利。連接家電的物聯(lián)網(wǎng)與連接電腦的互聯(lián)網(wǎng)有本質(zhì)上的區(qū)別，互聯(lián)網(wǎng)僅存在于虛擬的世界，物聯(lián)網(wǎng)則與真實世界直接相連。

| 無處不在的安全漏洞 |

2009年，可連接無線局域網(wǎng)的恒溫器和家門攝像頭開始普及，“物聯(lián)網(wǎng)”的概念出現(xiàn)了。計算機(jī)科學(xué)家安·托伊對此展開調(diào)查，探究家用電器是否會被輕易入侵。

他先在網(wǎng)絡(luò)中搜索沒有更改默認(rèn)用戶名和密碼的電器，只要利用程序檢索出這些電器，就能輕松入侵。他在144個國家區(qū)域內(nèi)檢索出了超過50萬臺有漏洞的電器。基于這個數(shù)字，托伊推測出有13%的家庭處于“家門大開”的無防護(hù)狀態(tài)。

十年過去了，容易被黑客入侵的電器急劇增多，但這絲毫沒能阻擋物聯(lián)網(wǎng)的發(fā)展腳步，反而更多操作便捷的智能家電出現(xiàn)在市場上，人們通過簡單的語音指令或手機(jī)操作，就可以打開電暖氣、關(guān)閉電燈、啟動烤箱烤面包。

但如果智能家電或監(jiān)控攝像被入侵，會發(fā)生什么？物聯(lián)網(wǎng)的安全性值得信賴嗎？

網(wǎng)絡(luò)安全專家們對第二個問題的意見基本一致，正如美國藍(lán)博士半導(dǎo)體設(shè)計公司的產(chǎn)品經(jīng)理本·萊柏恩所說，“一言以蔽之，現(xiàn)階段的答案是‘不。”

過去互聯(lián)網(wǎng)主要由掌握信息科技和專業(yè)電腦知識的技術(shù)人員構(gòu)建，而物聯(lián)網(wǎng)涉及的許多制造商卻并不具備反黑客專業(yè)知識，甚至有相當(dāng)一部分廠商并未意識到安全系統(tǒng)的必要性，漏洞隨處可見。

阿爾巴羅·卡德納斯是德克薩斯大學(xué)達(dá)拉斯學(xué)院的副教授，他曾指導(dǎo)學(xué)生對物聯(lián)網(wǎng)電器進(jìn)行入侵。學(xué)生們證實，通過網(wǎng)絡(luò)，他們能直接利用家用監(jiān)控攝像頭對用戶進(jìn)行窺視。他們還成功操縱了他人的無人機(jī)。這類電器若被懷有惡意的人入侵，那么極有可能出現(xiàn)房屋被偷拍或竊聽的風(fēng)險。

學(xué)生們甚至能遠(yuǎn)程操縱熱賣玩具。比如，如果一款通過聯(lián)網(wǎng)實現(xiàn)更新存儲信息的會說話的玩具海馬被入侵，黑客就能利用海馬的聲音向幼兒傳遞不恰當(dāng)?shù)恼Z言，甚至指使孩子做些什么。

“極端隱私”的電器也很容易被攻破，比如成人震動棒。有些美軍要員因為駐守外地，有時會與伴侶遠(yuǎn)程使用情趣用品，或者用來自慰。這些電子情趣用品的使用信息很容易被竊取，存在安全隱患。

2016年，Mirai病毒最初被用于攻擊《我的世界》游戲小型服務(wù)器。

目前，全球具備物聯(lián)網(wǎng)功能的電器總計約有266億臺。預(yù)計到2025年，這一數(shù)字將突破750億。但由于現(xiàn)在很多用戶還沒有將這些電器聯(lián)網(wǎng)，部分電器還處于離線狀態(tài)，因此黑客們無從下手。但如果廠家不斷宣傳物聯(lián)網(wǎng)的便捷操作性，現(xiàn)狀就可能發(fā)生改變。

| 脆弱的系統(tǒng) |

隨著接入網(wǎng)絡(luò)的電器越來越多，黑客入侵也就越發(fā)容易。帕拉斯·賈是一名性格內(nèi)向的男生。大學(xué)中途退學(xué)后，他通過向網(wǎng)絡(luò)游戲《我的世界》的玩家們出租服務(wù)器，賺了不少錢。但這項業(yè)務(wù)競爭激烈，有人會向用戶電腦惡意投放病毒，或向競爭對手的電腦發(fā)送大量垃圾信息或數(shù)據(jù)，目的是讓對方的電腦宕機(jī)，這就是所謂的分布式拒絕服務(wù)攻擊（DDoS攻擊）。

2016年，賈和他的朋友入侵了他人的臺式電腦、監(jiān)控攝像頭、無線路由器，傳播了名為“Mirai”的蠕蟲病毒。在發(fā)起病毒攻擊的20個小時內(nèi)，他們就入侵了6.5萬臺機(jī)器，成功將它們感染為“僵尸”設(shè)備。據(jù)推測，該黑客團(tuán)伙入侵的機(jī)器總數(shù)多達(dá)60萬臺。

打敗附近的競爭對手后，他們還入侵了法國數(shù)據(jù)中心運營商巨頭OVH等公司。美國司法部最終將包括帕拉斯·賈在內(nèi)的3名嫌疑人以“制作并傳播Mirai病毒”的罪名起訴，判5年保護(hù)觀察期，罰款12.7萬美元，做社區(qū)服務(wù)2500小時。

36歲的安·托伊是現(xiàn)在美國紅氣球網(wǎng)絡(luò)安全公司的CEO，在世界范圍內(nèi)協(xié)助多個公司保護(hù)網(wǎng)絡(luò)服務(wù)器的安全。網(wǎng)絡(luò)安全公司為資金雄厚的大型企業(yè)提供防御DDoS攻擊的方法，但那些制造物聯(lián)網(wǎng)電器的企業(yè)卻幾乎從未做過這項功課。托伊認(rèn)為，企業(yè)輕視物聯(lián)網(wǎng)安全性的原因在于“淘金熱精神”，他們只想在急速發(fā)展的物聯(lián)網(wǎng)市場里早點分得一杯羹。

最近五年物聯(lián)網(wǎng)市場有過熱跡象，各制造商都想讓電器盡早上市。有些企業(yè)甚至完全沒有考慮過安全問題，因為制定安全對策需要投入時間和金錢，而制造廠商的啟動資金和獲得的風(fēng)投資金往往會用于盡快推出熱賣電器。

另一方面，絕大多數(shù)消費者也沒有意識到危險，沒有向廠商提出安全保護(hù)訴求，物聯(lián)網(wǎng)電器的生產(chǎn)廠商也就沒有提供必要保護(hù)的義務(wù)了。

佐治亞理工學(xué)院電氣計算機(jī)科學(xué)研究生院的瑪諾斯·安托納卡基斯副教授說：“要生產(chǎn)安全的智能電器，質(zhì)控、入侵測試、脆弱性分析等檢測都是必要步驟。”如果廠家對產(chǎn)品上市操之過急，就往往無暇顧及安全對策。

許多大型IT企業(yè)也投資飛速發(fā)展的智能家電領(lǐng)域。亞馬遜推出的智能音響Amazon Echo搭載語音識別程序Alexa，可作為“中繼器”控制多臺智能家電。2014年，谷歌公司以32億美元收購智能家居硬件公司Nest，擴(kuò)充了公司生產(chǎn)數(shù)碼中控設(shè)備的機(jī)能。2014年，韓國三星以兩億美元的價格收購了美國新興智能家居平臺SmartThings。蘋果公司出品的智能音箱HomePad可通過語音助理Siri進(jìn)行操作。

另外，可添加至智能家居系統(tǒng)的電器也陸續(xù)登場，通用電氣、博世、霍尼韋爾等大型家電企業(yè)紛紛加入戰(zhàn)局。不久前貝爾金公司也生產(chǎn)出可用手機(jī)操作的電鍋和咖啡機(jī)。

據(jù)統(tǒng)計，截止到2019年末，整個智能家居行業(yè)的消費者人數(shù)達(dá)18億，銷售額超過4900億美元。

黑客入侵汽車系統(tǒng)會對公共安全造成威脅。

為喚起大眾對物聯(lián)網(wǎng)危險性的關(guān)注，安托納卡基斯、奧馬爾·阿爾拉維與北卡羅來納大學(xué)教堂山分校的研究者們共同制訂獨立基準(zhǔn)，對各電器的安全性進(jìn)行測評。令他們驚訝的是，即便是擁有最先進(jìn)技術(shù)的企業(yè)，其開發(fā)電器的安全系統(tǒng)也是相當(dāng)脆弱的。

| 傷人性命的暴走汽車 |

安托納卡基斯提出，除了密碼保護(hù)漏洞外，物聯(lián)網(wǎng)電器的脆弱性還在于，黑客能借助家庭局域網(wǎng)直接入侵聯(lián)網(wǎng)電器系統(tǒng)。就像物品的接縫往往是整體最脆弱的地方一樣，家庭局域網(wǎng)的安全強(qiáng)度也是如此。即便給電器分別設(shè)置用戶名和密碼也未必安全。黑客只要找到途徑入侵一臺電器，就能打開整個局域網(wǎng)的大門。阿爾拉維指出：“很多消費者在家中安裝此類電器時，都不太了解自己會面臨怎樣的風(fēng)險。”

電腦安全專家迪彼德·肯尼迪已經(jīng)證實，智能冰箱、掃地機(jī)器人等家電產(chǎn)品存在被黑客入侵的風(fēng)險，而現(xiàn)在最具懸念的應(yīng)該是汽車了。

科學(xué)家們進(jìn)行的試驗足以讓司機(jī)們感到震驚。安全專家突破了記者所駕汽車脆弱的車載系統(tǒng)，遠(yuǎn)程控制了揚(yáng)聲器和空調(diào)，甚至在高速公路上強(qiáng)制讓車突然停下。美國大型汽車廠商菲亞特克萊斯勒就曾在2015年因安全隱患召回了140萬臺車。

肯尼迪指出，多數(shù)汽車各自搭載不同的系統(tǒng)，而且會聯(lián)網(wǎng)上傳維護(hù)所需的必要數(shù)據(jù)，汽車制造廠商往往還會將多個物聯(lián)網(wǎng)部件的制作外包給其他公司，程序提供者各不相同，即便工作人員發(fā)現(xiàn)漏洞，也很難迅速進(jìn)行修正。

肯尼迪指出，可聯(lián)網(wǎng)的智能音箱、寵物機(jī)器人也存在安全隱患。

為防止病毒、蠕蟲入侵造成損失，微軟的Windows系統(tǒng)和蘋果手機(jī)的iOS系統(tǒng)時刻都在上傳數(shù)據(jù)，但數(shù)碼行業(yè)的這種常識還未在汽車行業(yè)扎根。肯尼迪對多家廠商生產(chǎn)的汽車進(jìn)行安全測評，認(rèn)為還有許多需要完善之處。

如果黑客入侵多輛汽車，操縱車輛暴走，就能在世界范圍內(nèi)引發(fā)多起交通事故。肯尼迪發(fā)出警告：“針對可聯(lián)網(wǎng)汽車，這種操作易如反掌。或許只有在出人命之后，業(yè)界才會意識到風(fēng)險并進(jìn)行改善。”

[編譯自日本版《新聞周刊》]

編輯：侯寅