一般來說,一個行業火爆的标志,是它的各個方面都被反複談論驗證。
當然,在那上面讨論,大多意味着不太好的結果。比如幾位演講者的問答中,他們會普遍認為:現在的智能硬體産品,安全做的真弱。
怎麼說呢?隔壁家用的智能插座,随時可以控制開關;隔壁家的智能電話,随時可以切換播放畫面;網絡上的攝像頭,有一大波是預設密碼可以直接觀看。
在知道創宇的kcon上,黑哥講述了不安全的原因:“現在的智能裝置,包括智能家居有很大一部分都是基于wi-fi的,像最近炒得比較熱的小米電視、網際網路機頂盒、攝像頭、空調等等,基于wi-fi,你可以控制家中所有裝置。但wi-fi本身是一個很開放的東西,家中客人問要密碼你肯定要給。另外一方面,傳統電器、遙控都是用的紅外,這個隔着一堵牆信号就斷了。但wi-fi的範圍較大,可能你的樓上樓下都能連上,他們哪天說家裡網絡問題借用下wi-fi給還是不給?給了之後,基于wi-fi認證的東西,邏輯上講,他都可以控制。”
同在kcon的redrain、冷風也分析了汽車odb接口、嵌入式核心系統的入侵可能性。而這兩樣,也是近期極為熱門的智能汽車、泛物聯網領域所經常用到的東西。
為何會出現這樣的情況?一位白帽子給出了精辟答案:“這個領域還太新,積累太少。大家隻求能夠功能正常運作,而忽視了背後的安全建設。”
tombkeeper進一步表述:“很多智能硬體可能和傳統的pc、包括手機差異會相對大一些。第一,智能硬體有非常多的品種,可能會使用一些比較新的技術,它無法直接把我們之前在pc上積累的那些安全知識、硬體方法直接承襲。第二,智能硬體作為一個新事物,任何新的産品剛開發的時候,開發者和廠商可能不會特别重視。無論是什麼硬體、什麼作業系統,都是這樣。它需要有一個過程。”
如何避免被黑?遠離或許是個可以妥善解決的主意。不過真的離開這些充滿想象力、未來趨勢的裝置,卻又是一個糾結的過程。
接下來一段時間,雷鋒網(公衆号:雷鋒網)将開設安全專欄,請安全專家講述智能硬體可能存在的不安全之處,比如無密碼直接聯網、藍牙連接配接驗證等。這個專欄的目的在于為行業積累經驗,為大衆解惑。如果你對正在使用的某款硬體、某個流程有疑慮,不妨留言說說。我們邀請的安全專家或許可以幫忙解答。