Nest被黑,智能产品安全堪忧

原文出处: 雷锋网

google-nest-hacked

 

“Hello Dave.”

这句电影《2001太空漫游》中高智能计算机HAL的经典台词,出现在了Google旗下的恒温器Nest的屏幕上。这并不正常。

上周,一组黑客在黑帽子安全大会上,当着几百人的面,演示如何攻破Nest,并让这句台词出现在了Nest的屏幕上。Nest的安全漏洞,或许会让人们放慢脚步,不再继续快速奔向所谓的“物联网”——让所有电器设备连接互联网。黑客演示攻破智能设备的过程是今年的安全大会的重要主题,甚至还有人演示了如何黑智能汽车。

“这就回到了一个主题,即我们在以方便之名使用这些东西时,牺牲了哪些东西?”中佛罗里达大学从事安全研究的学生,也是四名演示如何攻击智能设备的演讲者之一的Daniel Buentello如此说道。“这类智能电脑,用户并不能为其安装反病毒软件。更糟糕的是,该设备有一个秘密后门,不怀好意者可以一直待在那里。那该设备就真成了所谓的‘不被人察觉的旁观者’了”

Nest根据用户家里的传感器返回的数据,判断用户是否在家,并在用户在家的时候将室内温度调节到符合用户喜好的温度。如果用户下午不在家,Nest则会将供暖设备或者空调调成节能模式。正是这种贴心的功能,做得实在太好,因此Google在今年年初以32亿美元收购了该公司。

“如果我是坏人,我会将你所有的数据流导向我这边,并嗅探这些数据,看看其中是否包含了信用卡的密码等敏感信息,”Buentello说道。“这很恐怖,因为如果你有一台电脑,你发现它有问题,你会拿去百思买维修。但是,你怎么会想得到你的恒温器也感染了电脑病毒呢?你想不到的。”

演示时,Buentello将一个USB连接到Nest,并将其调整到了开发者模式。完成这一步之后,他们就可以将自己的代码加载到该设备。完成这一步之后,他们就可以让Nest将数据传输给他们,用户并不能察觉。黑客们能够获得该设备的最高权限,并且想干什么就能干什么。

不过,他们并没有演示远程攻击,而且他们需要与该设备发生物理接触才能实现攻击。当然,这也不难做到,比如你可以买一台Nest,然后给其装上恶意代码,再放到eBay上去卖即可。智能恒温器,绝对不仅仅是一台恒温器这么简单,它是用户家庭网络的一个节点,攻破其中一个节点,就意味着其它节点也有可能被攻破。

这是便捷的智能设备时代,也是危机四伏的时代,建筑可以被黑,车可以被黑,恒温器也可以被黑。或许,在发明下一个智能设备之前,我们应该停下我们匆忙奔向物联网时代的脚步,想一想如何提高智能设备的安全性。



发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">