6月初,美国哥伦比亚大学网络安全实验室研究员Yossi Oren向媒体介绍了他与另一位研究员Angelos Keromytis共同发现的一个智能电视漏洞。攻击者可以利用该漏洞远程向智能电视终端注入恶意代码,获取及控制电视终端用户的Facebook、Twitter等SNS账号,甚至可以通过智能电视控制用户的PC、路由器、打印机等外设。Yossi Oren向记者讲述了他们颇具戏剧性的漏洞验证过程:某个周末的夜晚,在纽约曼哈顿的Inwood社区,当人们沉浸于精彩的电视节目时,研究员从某高层公寓的屋顶上发射无人机——机上载有具备无线信号捕获和恶意代码注入能力的电子装置。居民们丝毫没有注意到盘旋在35层楼高度的无人机,几分钟后,他们的家用打印机开始打印他们并不需要的优惠券,他们在智能电视登录过的社交网络账号开始发布假冒的评论和消息。研究人员采用了典型的“中间人攻击”方法,整个实验过程既毫无征兆,又无迹可寻。受到攻击的智能电视所支持的HbbTV(Hybrid Broadcast Broadband TV)标准,被广泛应用于欧洲销售的智能电视设备。
2013年6月,奥地利萨尔斯堡的研究人员Martin Herfurt曾在其博客中提到支持HbbTV标准的智能电视可能遭受到的攻击方法。除了上述的“中间人攻击”外,还包括无线窃听(通过监听无线数据流量了解邻居们在看哪些节目)、向服务端发送虚假的分析数据(通过模拟电视终端请求影响电视台的播放节目决策)、其他的内容攻击形式(DVB/DSM-CC注射、DNS欺骗、内容欺骗及“水坑”攻击)、向电视终端提供假新闻及股票行情、借助电视终端计算能力从事比特币挖矿、强制播放视频节目、非法访问电视终端资源(频道列表、录音功能、个人信息等),以及通过电视终端攻击其他联网设备。
记得过去有一则讽刺电视机顶盒的笑话:我可以容忍电脑死机,但不能容忍电视死机。如今,智能电视不仅可以死机,还可以被用来发动攻击。2013年8月的Black Hat大会上,韩国高丽大学的安全人员Seungjin Lee曾演示了入侵三星智能电视发布“白宫遭到攻击”假新闻的整个过程,并证明了可以通过智能电视监视用户。据卡塔尔半岛电视台网站年初报道,美国安全公司Proofpoint曾在两周时间内监测到约75万封恶意邮件由10万台智能电视、智能冰箱发出,从而推测黑客已经在利用智能家居产品向互联网发动攻击。2014上半年,SANS学会的安全人员曾监测到数字视频录像机(DVR)被植入了比特币采矿程序。为什么智能家居产品这么容易被入侵?一方面,智能家具产品会集成微处理器、具备操作系统,并支持网络通信技术,与我们平时使用的PC并无差别,传统的PC安全威胁同样适用于智能家居产品;另一方面,为保证智能家居产品的易用性,包括身份验证、防火墙等在内的传统安全机制无法应用于智能家居产品,所以它们通常处于毫无防护状态。
近年来,移动互联网技术的广泛应用为智能家居产业的发展提供了必要条件。包括智能电视、智能冰箱在内的各种智能家居产品,以其特有的自身状态感知能力、便捷的远程控制方式,为用户带来了良好的体验,在国外的中等收入家庭中应用较为普遍。相对欧美发达国家而言,由于市场消费能力等原因,我国的智能家居行业起步稍晚、发展较慢,随之而来的安全问题尚未引起足够重视,这是非常令人担忧的。首先,智能家居产品的工作时间要远远多于PC,甚至长年不会断电,这使得智能家居产品带来的安全威胁更为持久 ;其次,智能家居产品某些功能一旦被攻击者控制,更容易威胁到用户隐私,甚至造成对用户的物理伤害。
不久前,Google重金收购了智能家居设备制造商Nest,苹果在WWDC大会主题演讲中表示将进军智能家居,国内也有多家互联网厂商涉足智能家居产品,智能家居的热潮似乎已经扑面而来。对于持币待购的普通用户来说,在热潮面前还需要冷静思考;对信息安全行业来说,保障用户安全任重道远,这是挑战,也是机遇。
美图在这里:http://www.fydzv.com/