提到聯(lián)網(wǎng)住宅，人們會自然認為自己才是家里的主人。但不幸的是，黑客的攻擊可能讓你因為這種技術(shù)的發(fā)展而深受其害。

　　馬克·吉爾伯特(Marc Gilbert)對此深有體會。為了照顧2歲的女兒，他在家里裝了IP攝像頭。但今年8月，攝像頭被黑客入侵，導(dǎo)致熟睡中的女兒遭到黑客的“隔空辱罵”。

　　類似的事情其實并不少見，這也凸顯出所謂的智能住宅技術(shù)普及過程中面臨的一大障礙。

　　這樣的黑客攻擊絕非小事。如果說住宅是人們身份的延伸，那么恐怕沒有什么地方能比那里更能給予我們庇護，讓我們安心。也正因如此，對智能住宅技術(shù)的入侵，自然會讓我們心生恐懼。

　　誰在盯著誰?

　　曾幾何時，破解車庫遙控器的無線電頻率還是一種普通人難以接觸到的高科技，但現(xiàn)在卻幾乎成了小兒科。

　　如今，陌生人已經(jīng)可以掌控他人的家用攝像頭，甚至入侵聯(lián)網(wǎng)電視和恒溫器。這顯然令人毛骨悚然，甚至?xí)砬袑嵉钠茐摹?/P>

　　攝像頭可以用來竊取登錄信息，而恒溫器則可以透露主人是否在家。電視原本是幫助我們進入虛構(gòu)世界的窗口，但現(xiàn)在卻成了外人偷窺我們?nèi)粘Ｉ畹碾[秘渠道。

　　例如，智能電視上既有攝像頭、麥克風(fēng)，還能安裝應(yīng)用、上網(wǎng)沖浪，功能已經(jīng)越來越接近電腦。不僅如此，它也跟電腦一樣可以入侵。用戶不僅可能被自己家的電視監(jiān)控，甚至?xí)灰T到惡意網(wǎng)站，導(dǎo)致敏感信息被竊。

　　安全評估公司iSEC Partners首席安全工程師阿隆·格拉塔菲奧里(Aaron Grattafiori)是這方面的專家。他和他的同事約什·亞沃(Josh Yavor)在今年的拉斯維加斯黑帽安全大會上向觀眾演示了成功入侵三星智能電視的過程。

　　格拉塔菲奧里通過郵件解釋稱，他使用那款電視的網(wǎng)絡(luò)瀏覽器攻破了它的前置攝像頭，控制了DNS設(shè)置，并向其他應(yīng)用植入了類似于病毒的代碼。他表示，之所以能完成這種攻擊，是因為三星智能電視的很多應(yīng)用(包括Skype和Twitter)都是用Javascript和HTML5編寫的，而且使用了Binary API(應(yīng)用編程接口)，使之極易受到攻擊。

　　最終，格拉塔菲奧里和亞沃輕松將他們的惡意代碼植入到電視里，不過三星后來修補了這一漏洞。

　　寶寶攝像頭失控

　　為了照看寶寶，吉爾伯特購買了Foscam的IP攝像頭，但那款產(chǎn)品的軟件卻存在重大安全問題。在安裝過程中，F(xiàn)oscam使用了默認的用戶登錄名，也就是最經(jīng)典的admin用戶名，但并沒有提醒用戶自行更改。

　　更改初始登錄信息是所有安全專家的首要建議，大概是因為很多用戶都疏忽了這一點。事實上，任何聯(lián)網(wǎng)設(shè)備都會有一套默認的身份驗證程序，可以被黑客輕而易舉地攻破。而由于Shodan專用搜索引擎可以方便用戶尋找各種上網(wǎng)家電，所以要找到家用路由器和IP攝像頭便更加容易。

　　對Foscam來說，黑客還可以直接解析*.myfoscam.org名空間，因為多數(shù)聯(lián)網(wǎng)的Foscame攝像頭都會列出主機名稱。這些方式都可以幫助黑客找到巨大的寶藏。

　　當(dāng)然，安全問題并非Foscam攝像頭獨有。通過蘋果旗艦店和百思買銷售的IZON監(jiān)控攝像頭最近也被曝存在與默認登錄名有關(guān)的安全問題。

　　Foscam已經(jīng)發(fā)布了軟件補丁，催促用戶更改用戶名和密碼。然而，這或許仍然不能徹底解決這類問題。因為無論技術(shù)水平高低，科技用戶通常都無法及時更新軟件。

　　選擇一個獨特而難以猜測的用戶名是十分重要的，而且非常必要，但仍然不能保證100%的安全。家住休斯頓的吉爾伯特表示，他家里的路由器有密碼保護，而且啟用了防火墻。IP攝像頭同樣設(shè)置了密碼。

　　然而，入侵者還是拿到了這款攝像頭的控制權(quán)，具體方法有可能是通過暴力破解實現(xiàn)的，也有可能是更加復(fù)雜的黑客技術(shù)。已有信息顯示，這名黑客來自歐洲。

　　家門大開

　　聯(lián)網(wǎng)家用產(chǎn)品可以通過多種方式接入網(wǎng)絡(luò)，有的用藍牙，因此號稱可以使用設(shè)備配對協(xié)議來預(yù)防未經(jīng)授權(quán)的訪問行為。還有的直接接入WiFi網(wǎng)絡(luò)。飛利浦Hue燈泡、Dropcam攝像頭、Nest恒溫器和火警報警器、貝爾金WeMo設(shè)備等產(chǎn)品都可以直接接入路由器，從而通過互聯(lián)網(wǎng)訪問，所以可以直接通過網(wǎng)站或移動應(yīng)用實現(xiàn)遠程監(jiān)控。

　　另有一些產(chǎn)品使用了別的方法，例如家住俄勒岡的托馬斯·哈特利(Thomas Hatley)家里就使用了這樣一套系統(tǒng)。他家安裝了Insteon住宅自動化系統(tǒng)，可以利用無線電信號和已有的線路通訊。但仍然需要通過互聯(lián)網(wǎng)與外界相連，所以仍然無法避免攻擊事件的發(fā)生。

　　當(dāng)《福布斯》編輯喀什米爾 希爾(Kashmir Hill)遠程攻入他的住宅，并獲得了住宅自動化系統(tǒng)的控制權(quán)后，他感到頗為震驚。通過這種方式，希爾雖然身在紐約，但卻可以輕易掌控哈特利家的各種設(shè)備，從電扇到燈泡，再到車庫門，無所不包。她發(fā)現(xiàn)，希爾家的這套系統(tǒng)甚至在默認狀態(tài)下不需要密碼保護，而這卻是最基本的安全要求。

　　Insteon只是聯(lián)網(wǎng)住宅中使用的多種通訊系統(tǒng)之一，其他較熱門的網(wǎng)絡(luò)還使用了Zigbee和Z-ware無線協(xié)議，從而方便設(shè)備彼此“溝通”，并實現(xiàn)遠程操控。

　　“由于Zigbee是一套開放系統(tǒng)，所以已經(jīng)有很多相關(guān)的安全研究。但Z-ware卻是一套封閉系統(tǒng)，相關(guān)研究并不多。”格拉塔菲奧里說。不過，由于這類協(xié)議較為模糊，或者比較專業(yè)，所以不會構(gòu)成太大的擔(dān)憂。

　　然而，隨著住宅自動化系統(tǒng)以及家庭安保和控制系統(tǒng)的進步和流行，這種情況可能發(fā)生變化。雖然住宅自動化系統(tǒng)在美國的普及率大約只有3%，但卻已經(jīng)孕育出了一個價值15億美元的行業(yè)。據(jù)路透社報道，分析師預(yù)計“智能住宅”產(chǎn)品要不了多久就將實現(xiàn)兩位數(shù)的增長。

　　這也難怪Zigbee和Z-ware這樣的協(xié)議會成為黑客大會和安全研究人員的關(guān)注重點。他們發(fā)現(xiàn)，貝爾金的WeMo或許是最容易攻克的系統(tǒng)，因為這類設(shè)備缺乏安全協(xié)議和認證手段。安全公司SensePost的安全研究人員貝赫朗弗拉迪(Behrang Fouladi)通過WeMo的操作系統(tǒng)成功控制了這款設(shè)備，并且監(jiān)控了它與開關(guān)和iPhone之間的通訊信息。

　　“我不擔(dān)心是否有人會遠程開關(guān)我家的燈，”弗拉迪說，“但門鎖和動作傳感器之類的東西一旦被入侵，就會產(chǎn)生嚴重的后果。在這方面做出妥協(xié)的代價會更高?！?/P>

　　企業(yè)加強評估

　　專門開發(fā)聯(lián)網(wǎng)家庭系統(tǒng)的公司都很重視安全性。例如，SmartThings就會對所有合作伙伴的應(yīng)用和設(shè)備進行一一測評，確保其符合他們的安全標(biāo)準。該公司發(fā)言人說：“我們會進行安全測試，確保一切都符合標(biāo)準?！?/P>

　　該公司的白皮書還列出了眾多協(xié)議，從個人身份號碼到兩步驗證措施，再到防火墻、數(shù)據(jù)加密和沙盒。他們甚至?xí)martThings的使用中心設(shè)置為特殊的模式后，再與Zigbee或Z-wave設(shè)備配對，以此將惡意設(shè)備拒之門外。

　　iControl公司為ADT Securities Services、Comcast、時代華納有線、Cox和Rogers等公司的聯(lián)網(wǎng)住宅服務(wù)提供技術(shù)，他們也通過與供應(yīng)商和合作伙伴的配合來確保設(shè)備開發(fā)、軟件開發(fā)和服務(wù)管理都符合相應(yīng)的安全要求。

　　該公司還負責(zé)所有聯(lián)網(wǎng)電子設(shè)備的軟件管理。iControl執(zhí)行副總裁吉姆約翰遜(Jim Johnson)說：“我們通過中央服務(wù)器管理所有設(shè)備或平板電腦的軟件。一旦我們需要升級軟件，都會向訂閱該服務(wù)的用戶住宅自動推送更新?！?/P>

　　毫無疑問，安全漏洞對服務(wù)提供商來說將是一場噩夢。對消費者同樣如此，如果沒有了安全感，再大的便利也將變得毫無價值。