计算机科学家研究智能家居的安全威胁 – 华盛顿邮报

弗吉尼亚州威廉斯堡 – 说你在星巴克的笔记本电脑上，自己做生意，当你在房间里的一个熟人不在意他的时候。

你不知道的是，他使用同一商店的Wi-Fi进行智能家居的虚拟入侵：访问你的电灯开关应用程序并使用它来禁用你家的安全摄像头，这样真正的小偷可以闯入 – 或者走进去，如果他也禁用了智能锁。

而且你不是明智的 – 直到你回到家，发现你的家被黑了。并且被盗了。

这只是一个场景，展示了威廉和玛丽学院的计算机科学家在今年夏天进行的测试中发现的互联网智能家居设备的许多固有缺陷。

这个特殊的缺陷允许黑客攻击智能家庭的低安全性设备 – 例如灯开关或恒温器 – 并使用该访问来攻击他们无法访问的高安全性设备。

这是所谓的横向特权升级的一个例子，专家警告说，这种智能家居黑客比你想象的要容易。它们可能导致各种潜在的恶作剧，如果不是直接的伤害，从关闭你的安全系统到启动你的智能烤箱，直到它过热并烧毁房子。

“可能性是无限的，”首席调查员兼计算机科学助理教授Adwait Nadkarni说。 “家里有这么多设备会影响你的安全，影响你家的完整性。”

专家表示，短短两年内将有200亿智能家居产品投入使用。

“你可以想象这些攻击的可能组合会明显增加，因为我们将拥有更多相互连接的设备，”副教授Denys Poshyvanyk说。 “在这一点上，我们很难想象别人会做什么。”

Nadkarni和Poshyvanyk共同撰写了一篇关于他们工作的论文，他们将在3月份在达拉斯举行的第9届年度ACM数据和应用安全与隐私会议上发表演讲。学生共同作者包括Kaushal Kafle和Sunil Manandhar以及博士后研究员Kevin Moran。

在本文中，他们列出了控制智能家居产品的计算机程序或代码部分的潜在滥用，并提供了10个关键发现，具有“严重的安全隐患”。

“这些产品的多样性令人震惊，”该报称，“从带有智能锁和灯泡等嵌入式计算机的小型物理设备到冰箱和HVAC系统等成熟设备。”

它说，风险可能相当惊人。

“因为这些产品中的许多都与用户的安全或隐私（例如门锁，相机）相关联，所以了解这些设备和平台的攻击面以便在不牺牲实用性的情况下构建实用防御非常重要。”

对于他们的研究，Nadkarni和Poshyvanyk专注于两个最流行的智能家居平台 – 谷歌巢和飞利浦Hue–实施家庭自动化“惯例”。

例程是智能家居设备与控制它们的应用程序之间的交互。它们正在成为无缝家庭自动化的核心。

根据该论文，有两大类例程：一个允许用户使用第三方应用程序界面将各种设备“链接在一起”，另一个使用“集中式数据存储”作为一种交换机设备和应用程序可以通过互联网相互通信。

两者都旨在使用户更加无缝地实现智能家居自动化，并且两者都被发现易受攻击，使黑客能够攻击家中所有连接互联网的设备。

例如，对于集中式数据存储平台，当您使用移动应用程序与低安全性设备（例如，灯开关）进行通信时，设备将使用授权令牌访问您的智能家居。

“任何人都可以窃取那个访问令牌，”Nadkarni说，并用它来说，让你的智能家居认为你在里面并关掉安全摄像头。

科学家坚持认为并不难。

“你不需要任何专业教育，”Poshyvanyk说。 '你只需要知道如何运行某些程序。即使是高中生也可以这样做。“

他们归咎于消费者需求的脆弱性和急需满足的需求。

“制造商竞相发布这些系统，却没有充分了解它们将如何在野外使用，”Poshyvanyk说。

在研究人员发现安全漏洞后，他们联系了平台供应商谷歌和飞利浦以及应用程序开发商和制造商TP Link，以报告他们发现的内容。

TP Link在其最新的Kasa Switch调光器应用程序中修复了这个缺陷，这可以防止前面提到的理论横向攻击类型。预计飞利浦将推出针对其平台的修复程序，谷歌正致力于解决漏洞问题。

但这个问题比一家公司更重要 – 整个行业需要变得更聪明。

“我们基本上认为，在正确设计这些系统时，我们需要系统性的努力，”Poshyvanyk说。

“因为这些问题会随着时间的推移而恶化。将添加更多设备。 （如果）他们一开始并没有考虑安全设计，我们将会遇到更大的问题。“

___

信息来自：Daily Press，http：//www.dailypress.com/

版权所有2018年美联社。版权所有。此材料不得发布，广播，重写或重新分发。