亞當(dāng)·皮奧利 劉欣

如果黑客入侵智能家電、家用監(jiān)控?cái)z像頭，會(huì)發(fā)生什么？

物聯(lián)網(wǎng)是劃時(shí)代的科技，它讓我們的生活更加便利。連接家電的物聯(lián)網(wǎng)與連接電腦的互聯(lián)網(wǎng)有本質(zhì)上的區(qū)別，互聯(lián)網(wǎng)僅存在于虛擬的世界，物聯(lián)網(wǎng)則與真實(shí)世界直接相連。

| 無處不在的安全漏洞 |

2009年，可連接無線局域網(wǎng)的恒溫器和家門攝像頭開始普及，“物聯(lián)網(wǎng)”的概念出現(xiàn)了。計(jì)算機(jī)科學(xué)家安·托伊對此展開調(diào)查，探究家用電器是否會(huì)被輕易入侵。

他先在網(wǎng)絡(luò)中搜索沒有更改默認(rèn)用戶名和密碼的電器，只要利用程序檢索出這些電器，就能輕松入侵。他在144個(gè)國家區(qū)域內(nèi)檢索出了超過50萬臺(tái)有漏洞的電器?；谶@個(gè)數(shù)字，托伊推測出有13%的家庭處于“家門大開”的無防護(hù)狀態(tài)。

十年過去了，容易被黑客入侵的電器急劇增多，但這絲毫沒能阻擋物聯(lián)網(wǎng)的發(fā)展腳步，反而更多操作便捷的智能家電出現(xiàn)在市場上，人們通過簡單的語音指令或手機(jī)操作，就可以打開電暖氣、關(guān)閉電燈、啟動(dòng)烤箱烤面包。

但如果智能家電或監(jiān)控?cái)z像被入侵，會(huì)發(fā)生什么？物聯(lián)網(wǎng)的安全性值得信賴嗎？

網(wǎng)絡(luò)安全專家們對第二個(gè)問題的意見基本一致，正如美國藍(lán)博士半導(dǎo)體設(shè)計(jì)公司的產(chǎn)品經(jīng)理本·萊柏恩所說，“一言以蔽之，現(xiàn)階段的答案是‘不?！?/p>

過去互聯(lián)網(wǎng)主要由掌握信息科技和專業(yè)電腦知識(shí)的技術(shù)人員構(gòu)建，而物聯(lián)網(wǎng)涉及的許多制造商卻并不具備反黑客專業(yè)知識(shí)，甚至有相當(dāng)一部分廠商并未意識(shí)到安全系統(tǒng)的必要性，漏洞隨處可見。

阿爾巴羅·卡德納斯是德克薩斯大學(xué)達(dá)拉斯學(xué)院的副教授，他曾指導(dǎo)學(xué)生對物聯(lián)網(wǎng)電器進(jìn)行入侵。學(xué)生們證實(shí)，通過網(wǎng)絡(luò)，他們能直接利用家用監(jiān)控?cái)z像頭對用戶進(jìn)行窺視。他們還成功操縱了他人的無人機(jī)。這類電器若被懷有惡意的人入侵，那么極有可能出現(xiàn)房屋被偷拍或竊聽的風(fēng)險(xiǎn)。

學(xué)生們甚至能遠(yuǎn)程操縱熱賣玩具。比如，如果一款通過聯(lián)網(wǎng)實(shí)現(xiàn)更新存儲(chǔ)信息的會(huì)說話的玩具海馬被入侵，黑客就能利用海馬的聲音向幼兒傳遞不恰當(dāng)?shù)恼Z言，甚至指使孩子做些什么。

“極端隱私”的電器也很容易被攻破，比如成人震動(dòng)棒。有些美軍要員因?yàn)轳v守外地，有時(shí)會(huì)與伴侶遠(yuǎn)程使用情趣用品，或者用來自慰。這些電子情趣用品的使用信息很容易被竊取，存在安全隱患。

2016年，Mirai病毒最初被用于攻擊《我的世界》游戲小型服務(wù)器。

目前，全球具備物聯(lián)網(wǎng)功能的電器總計(jì)約有266億臺(tái)。預(yù)計(jì)到2025年，這一數(shù)字將突破750億。但由于現(xiàn)在很多用戶還沒有將這些電器聯(lián)網(wǎng)，部分電器還處于離線狀態(tài)，因此黑客們無從下手。但如果廠家不斷宣傳物聯(lián)網(wǎng)的便捷操作性，現(xiàn)狀就可能發(fā)生改變。

| 脆弱的系統(tǒng) |

隨著接入網(wǎng)絡(luò)的電器越來越多，黑客入侵也就越發(fā)容易。帕拉斯·賈是一名性格內(nèi)向的男生。大學(xué)中途退學(xué)后，他通過向網(wǎng)絡(luò)游戲《我的世界》的玩家們出租服務(wù)器，賺了不少錢。但這項(xiàng)業(yè)務(wù)競爭激烈，有人會(huì)向用戶電腦惡意投放病毒，或向競爭對手的電腦發(fā)送大量垃圾信息或數(shù)據(jù)，目的是讓對方的電腦宕機(jī)，這就是所謂的分布式拒絕服務(wù)攻擊（DDoS攻擊）。

2016年，賈和他的朋友入侵了他人的臺(tái)式電腦、監(jiān)控?cái)z像頭、無線路由器，傳播了名為“Mirai”的蠕蟲病毒。在發(fā)起病毒攻擊的20個(gè)小時(shí)內(nèi)，他們就入侵了6.5萬臺(tái)機(jī)器，成功將它們感染為“僵尸”設(shè)備。據(jù)推測，該黑客團(tuán)伙入侵的機(jī)器總數(shù)多達(dá)60萬臺(tái)。

打敗附近的競爭對手后，他們還入侵了法國數(shù)據(jù)中心運(yùn)營商巨頭OVH等公司。美國司法部最終將包括帕拉斯·賈在內(nèi)的3名嫌疑人以“制作并傳播Mirai病毒”的罪名起訴，判5年保護(hù)觀察期，罰款12.7萬美元，做社區(qū)服務(wù)2500小時(shí)。

36歲的安·托伊是現(xiàn)在美國紅氣球網(wǎng)絡(luò)安全公司的CEO，在世界范圍內(nèi)協(xié)助多個(gè)公司保護(hù)網(wǎng)絡(luò)服務(wù)器的安全。網(wǎng)絡(luò)安全公司為資金雄厚的大型企業(yè)提供防御DDoS攻擊的方法，但那些制造物聯(lián)網(wǎng)電器的企業(yè)卻幾乎從未做過這項(xiàng)功課。托伊認(rèn)為，企業(yè)輕視物聯(lián)網(wǎng)安全性的原因在于“淘金熱精神”，他們只想在急速發(fā)展的物聯(lián)網(wǎng)市場里早點(diǎn)分得一杯羹。

最近五年物聯(lián)網(wǎng)市場有過熱跡象，各制造商都想讓電器盡早上市。有些企業(yè)甚至完全沒有考慮過安全問題，因?yàn)橹贫ò踩珜Σ咝枰度霑r(shí)間和金錢，而制造廠商的啟動(dòng)資金和獲得的風(fēng)投資金往往會(huì)用于盡快推出熱賣電器。

另一方面，絕大多數(shù)消費(fèi)者也沒有意識(shí)到危險(xiǎn)，沒有向廠商提出安全保護(hù)訴求，物聯(lián)網(wǎng)電器的生產(chǎn)廠商也就沒有提供必要保護(hù)的義務(wù)了。

佐治亞理工學(xué)院電氣計(jì)算機(jī)科學(xué)研究生院的瑪諾斯·安托納卡基斯副教授說：“要生產(chǎn)安全的智能電器，質(zhì)控、入侵測試、脆弱性分析等檢測都是必要步驟。”如果廠家對產(chǎn)品上市操之過急，就往往無暇顧及安全對策。

許多大型IT企業(yè)也投資飛速發(fā)展的智能家電領(lǐng)域。亞馬遜推出的智能音響Amazon Echo搭載語音識(shí)別程序Alexa，可作為“中繼器”控制多臺(tái)智能家電。2014年，谷歌公司以32億美元收購智能家居硬件公司Nest，擴(kuò)充了公司生產(chǎn)數(shù)碼中控設(shè)備的機(jī)能。2014年，韓國三星以兩億美元的價(jià)格收購了美國新興智能家居平臺(tái)SmartThings。蘋果公司出品的智能音箱HomePad可通過語音助理Siri進(jìn)行操作。

另外，可添加至智能家居系統(tǒng)的電器也陸續(xù)登場，通用電氣、博世、霍尼韋爾等大型家電企業(yè)紛紛加入戰(zhàn)局。不久前貝爾金公司也生產(chǎn)出可用手機(jī)操作的電鍋和咖啡機(jī)。

據(jù)統(tǒng)計(jì)，截止到2019年末，整個(gè)智能家居行業(yè)的消費(fèi)者人數(shù)達(dá)18億，銷售額超過4900億美元。

黑客入侵汽車系統(tǒng)會(huì)對公共安全造成威脅。

為喚起大眾對物聯(lián)網(wǎng)危險(xiǎn)性的關(guān)注，安托納卡基斯、奧馬爾·阿爾拉維與北卡羅來納大學(xué)教堂山分校的研究者們共同制訂獨(dú)立基準(zhǔn)，對各電器的安全性進(jìn)行測評(píng)。令他們驚訝的是，即便是擁有最先進(jìn)技術(shù)的企業(yè)，其開發(fā)電器的安全系統(tǒng)也是相當(dāng)脆弱的。

| 傷人性命的暴走汽車 |

安托納卡基斯提出，除了密碼保護(hù)漏洞外，物聯(lián)網(wǎng)電器的脆弱性還在于，黑客能借助家庭局域網(wǎng)直接入侵聯(lián)網(wǎng)電器系統(tǒng)。就像物品的接縫往往是整體最脆弱的地方一樣，家庭局域網(wǎng)的安全強(qiáng)度也是如此。即便給電器分別設(shè)置用戶名和密碼也未必安全。黑客只要找到途徑入侵一臺(tái)電器，就能打開整個(gè)局域網(wǎng)的大門。阿爾拉維指出：“很多消費(fèi)者在家中安裝此類電器時(shí)，都不太了解自己會(huì)面臨怎樣的風(fēng)險(xiǎn)?！?/p>

電腦安全專家迪彼德·肯尼迪已經(jīng)證實(shí)，智能冰箱、掃地機(jī)器人等家電產(chǎn)品存在被黑客入侵的風(fēng)險(xiǎn)，而現(xiàn)在最具懸念的應(yīng)該是汽車了。

科學(xué)家們進(jìn)行的試驗(yàn)足以讓司機(jī)們感到震驚。安全專家突破了記者所駕汽車脆弱的車載系統(tǒng)，遠(yuǎn)程控制了揚(yáng)聲器和空調(diào)，甚至在高速公路上強(qiáng)制讓車突然停下。美國大型汽車廠商菲亞特克萊斯勒就曾在2015年因安全隱患召回了140萬臺(tái)車。

肯尼迪指出，多數(shù)汽車各自搭載不同的系統(tǒng)，而且會(huì)聯(lián)網(wǎng)上傳維護(hù)所需的必要數(shù)據(jù)，汽車制造廠商往往還會(huì)將多個(gè)物聯(lián)網(wǎng)部件的制作外包給其他公司，程序提供者各不相同，即便工作人員發(fā)現(xiàn)漏洞，也很難迅速進(jìn)行修正。

肯尼迪指出，可聯(lián)網(wǎng)的智能音箱、寵物機(jī)器人也存在安全隱患。

為防止病毒、蠕蟲入侵造成損失，微軟的Windows系統(tǒng)和蘋果手機(jī)的iOS系統(tǒng)時(shí)刻都在上傳數(shù)據(jù)，但數(shù)碼行業(yè)的這種常識(shí)還未在汽車行業(yè)扎根?？夏岬蠈Χ嗉覐S商生產(chǎn)的汽車進(jìn)行安全測評(píng)，認(rèn)為還有許多需要完善之處。

如果黑客入侵多輛汽車，操縱車輛暴走，就能在世界范圍內(nèi)引發(fā)多起交通事故?？夏岬习l(fā)出警告：“針對可聯(lián)網(wǎng)汽車，這種操作易如反掌?；蛟S只有在出人命之后，業(yè)界才會(huì)意識(shí)到風(fēng)險(xiǎn)并進(jìn)行改善?！?/p>

[編譯自日本版《新聞周刊》]

編輯：侯寅