警惕智慧家庭领域的物联网泄露家庭隐私

　　随着物联网(IoT)市场突飞猛进，所有的家电产品，现在几乎都推出了互联型号。据 Gartner 预测，到 2015 年消费者的智慧家庭环境中将存在 29 亿台互联的物联网设备。

　　但尽管公众对智慧家庭的认可度不断提升，最新的研究显示，物联网设备的“安全”问题似乎并未得到同样的重视，这使得消费者的隐私可能被泄露。近日，赛门铁克最近分析了50 款目前上市的智慧家庭设备，对其安全性进行了评估。

　　智慧家庭设备可能使用后端云服务来监控设备的使用情况，或支持用户远程控制这些系统。用户可以通过移动应用或 Web门户网站访问这些数据或控制设备。

　　我们的研究结果显示，许多设备和服务都存在一些基本的安全问题。

　　薄弱的身份认证机制

　　这些设备都没有使用相互身份认证功能或采用强密码。更糟糕的是，一些设备将身份认证密码限定为简单的四位PIN 码，使得用户无法在云接口上设置强密码。此外，这些设备还不支持双因素身份认证(2FA)，并且无法应对密码暴力破解攻击，导致用户很容易成为攻击的目标。

　　Web漏洞

　　除了薄弱的身份认证机制外，许多智慧家庭Web接口还容易受到一些众所周知的Web应用漏洞的困扰。在对15个物联网云接口执行快速测试后，结果显示这些设备存在一些严重的漏洞，但此项测试只能检查表面问题。我们发现并报告了有关路径遍历、不受限制的文件上传(远程代码执行)、远程文件包含(RFI)和 SQL注入等十项漏洞。除了智能灯泡，涉及到的设备还包括智能门锁。我们可以通过互联网远程开门，甚至无需知道密码。

　　本地攻击

　　攻击者会通过侵入采用弱加密功能的Wi-Fi网络，攻击家庭网络，进而攻击用户的智能设备。我们发现，这些设备以明文方式本地传输密码或者根本不使用任何身份认证功能。物联网设备还存在一个共同的特点，即采用未签名的固件更新。此项安全功能的缺失会让攻击者能够轻易攻破家庭网络，破解物联网设备的密码。这些被盗的证书可用于执行其他命令，甚至还能通过恶意固件更新彻底控制设备。

　　潜在的攻击

　　到目前为止，我们还未发现大规模恶意软件瞄准智慧家庭设备，例如，路由器和网络连接存储设备等与电脑相关的设备。目前，提出的大多数物联网攻击只是概念验证，还没有使攻击者产生任何利润。但这并不意味着，未来当技术变得更加主流时，攻击者不会瞄准物联网设备。

　　回顾过去，如果攻击者的手段没有新意，我们就不会把他们太当回事，但实则相反，他们总能想到新的攻击方法。即使只是滥用技术、威胁用户或者攻击家庭网络，网络犯罪分子总能够随时准备并热衷于进攻任何目标。