智能家居安全成焦点 消费者要舒适不要灾难
我们真的要让全世界的黑客连结到我们的厨房、空调以及其他家用设备吗?尤其是我们的门锁?当原本应该为生活带来舒适便利的东西顿时变成一场灾难,该怎么办?
时间发生在 2015 年 4 月,美国华盛顿的一对夫妻陷入了一个令人寝食难安的状况。好一阵子,他们的三岁儿子一直在抱怨有个隐形人会在晚上出来跟他讲话。一开始,他们还一直叫小孩不要乱讲,直到有一天他们真的听到陌生人的声音从他们儿子房间里安装的婴儿监视器中传出。
那个声音说:“小朋友,快起来,你爸爸在找你。”更令他们毛骨悚然的是,他们发现该设备的摄影镜头竟然还会跟着他们移动,那鬼魂般的声音接着说:“看看是谁来了。”这只是众多家庭物联网(IoT ,Internet of Thing)设备遭骇的恐怖故事之一。家庭物联网设备的设计都是以功能为优先考虑,其次才想到安全 人们应该要能安心地使用智能设备,但今日的现况并非如此。今日家庭物联网设备的设计都是以功能为优先考虑,其次才想到安全。因此,当这些酷炫设备上市时,经常暗藏一些消费者在购买当下考虑不到的安全风险。这不禁让人怀疑,消费者是否真有办法在兴冲冲地将这些设备带回家之前,仔细想清楚它们的好处与风险。黑客将知道屋主是否在家,或者他们监视的对象是否正在前往某处。当然,这些是较极端的情况,但却一点也不夸张。
婴儿监视器直播隐私
首先是隐私的问题。许多物联网设备都具备录像和录音的功能,或者会将影音数据传送至云端处理。万一黑客有办法拦截这些内容,那就能看到并听到屋内的状况。再回头看看前述婴儿监视器的案例,由于黑客找到了设备的软件漏洞,因此就能将这些原本让家长随时关心儿童状况的设备变成现成的监视器材。
语音助理蒙上监听阴影
某些物联网设备 (如自动化语音助理) 会随时等候用户下达语音指令,然后将语音内容传送至云端处理,并在几秒之内做出回应。过去已发生许多关于这类设备传送过多语音数据的争议。
2015年的这篇报导指出三星电视隐私条款出现以下这段模棱两可的叙述,认为三星电视会替广告商收集资料:“请注意使用语音识别时,如果你说的话含有个人或是敏感数据,这些信息将会被截取,而且传送给第三方。”事后三星发出声明稿,解释他们不会侵犯使用者的隐私,也修改了隐私权条款。
正常来说,语音助理只有在听到某个关键的“唤醒字眼”才会启动。例如,要唤醒 Amazon Echo 这个家庭助理,就要对它说:“Alexa”。Amazon 向客户保证,该设备只会将它被唤醒之后的语音内容传送至云端,完成使用者要求之后就会停止。该公司还提供了关闭随时收听语音内容的功能,这一点用户应该好好善用。
穿戴式设备忠实记录用户的行踪, 可能将危及人身安全
有一些穿戴式设备 (如健身手环) 可以忠实记录用户的行踪。因此,万一这类数据落入不肖之徒手中,很可能将危及人身安全。黑客将知道屋主是否在家,或者他们监视的对象是否正在前往某处。当然,这些是较极端的情况,但却一点也不夸张。
智能锁头厂商终止服务,要开锁得到设备电池耗尽
除此之外,还有产品寿命的问题,这一点经常被忽略。许多物联网设备的功能都必须仰赖厂商在云端的服务。万一哪天厂商忽然倒闭了,或者被其他厂商给并购,那么设备将变成孤儿。日本有一个叫做“246”的智能型锁头就发生这样的情况。该锁头可以通过智能手机应用程序来上锁和开锁。但由于该设备背后的服务已在 6 月 30 日终止,因此使用者现在已无法开锁,除非等到设备电池耗尽,但根据厂商的说法,电池大约可撑 180 天左右。使用者若想退款,则必须亲自将锁头送到该公司办理。 另一个例子是 Revolv,这是一个智能家居中枢设备,几年前被 Nest 公司并购之后便停止运作。此设备扮演的是家庭指挥中心的角色,它可让用户通过应用程序来操作其他智能型家电。然而由于 Nest 公司决定在今年 5 月 15 日终止该项服务,因此许多设备用户现在手上只剩下一台外型超酷但却毫无用处的设备。
电力中断时,智能门锁会把你所在门外吗?
物联网的风险可大致归诸为内部与外部两大因素。内部因素是物联网厂商或家庭用户能够掌控的因素,而外部因素则否。
外部因素包括气象或电力中断。例如当台风来袭造成断电时,家用设备会发生什么状况?智能门锁是否将卡在上锁的状态?若是,那使用者岂不是被锁在门外无法回进门?当电力恢复时,设备会重设吗? 黑客可能关闭消防警报、玩弄智能灯泡,甚至刻意造成家用智能设备故障
其他的外部因素还有黑客攻击,例如前述家庭遭到监视的案例。黑客可利用设备的漏洞来搜集数据,进一步掌握有关其监视对象的信息。这些数据可能被用来加害或恐吓受害者。不仅如此,歹徒还可能发动一些中间人攻击,刻意发送恶意的指令给设备,例如:关闭消防警报、玩弄智能型灯泡,甚至刻意造成家用智能型设备故障。当恶意攻击开始进入家庭时,原本应该为生活带来舒适便利的东西,将顿时变成一场灾。
物联网生态体系牵涉的每一个环节都可能增加安全风险,此处仅列出几项环节供您参考。环境: 电力中断、天灾;政治社会因素;黑客:中间人攻击、资料与隐私外泄;制造商:固件更新频率 、设备技术支持;家庭用户 : 家庭网络设定、密码管理。
最容易让歹徒潜入智能家居的,是错误的家用无线网络设定:如,未变更设备的默认密码 然而,不幸中的大幸,这类攻击通常需要花费相当大的时间和精力来规划和执行 (至少目前如此)。因为,有别于一般计算机大多采用相当普遍的操作系统,物联网设备的操作系统相当多元化。针对特定物联网设备所开发的攻击手法,并无法轻易套用至不同厂商的产品。此外,有时黑客必须先购买并研究其所要攻击的物联网设备,才能开发出针对该设备的攻击。也正因如此,人们其实不必害怕使用智能型设备,但需要学会当个聪明的使用者。
许多危险其实是来自于家庭物联网系统的设定不当,其中最容易让歹徒潜入智能家居的,是错误的家用无线网络设定。例如,用户若未变更设备的默认密码,黑客便可轻易进入设备。
物联网产品制造商若不适时更新固件,也会让使用者陷入危险
此外,物联网产品制造商若不适时更新固件,也会让使用者陷入危险。因为这将使得网络上许多家庭的设备都含有漏洞。厂商将源代码公开,从技术角度而言并非坏事,因为研究人员可以借此测验设备的安全性,但黑客同样也可从这些程序代码当中找到漏洞。