在享受到互联网带来的便利的同时,人类也已经着手建立物联网,简单来说就是将各种日常物品连接到互联网,从而实现人员、流程与物品之间的无缝通信。
随着5G和AI等技术的不断成熟,物联网也正在逐渐完备。但这种不断扩张的网络环境也带来了一系列的安全威胁和挑战,潜在的攻击行为包括:获取隐私或机密数据;操纵或控制设备;或者当应用在物联网系统中使用和提供数据时,以错误方式服务或拒绝服务这些应用。
这样的潜在危险对个人消费者来说似乎很遥远。但最近,捷克安全公司Avast的研究员马丁·克朗(Martin Hron)向我们展示了物联网安全与个人的关系。
马丁在博客中表示,“我要证明的是,不仅仅只有通过安全措施薄弱的路由器或公共互联网来访问物联网设备会对其造成威胁,物联网设备本身就是脆弱的,可以在不通过网络或路由器的情况下轻松攻破。”
为此,他花了一周的时间成功控制了一台价值250美元的智能咖啡机,将其变成了“收银机”。当用户将这台咖啡机连入家庭网络并启动时,会触发其中的加热装置并喷出热水、发出怪响,还会通过显示屏显示出赎金信息。
被攻破的咖啡机
马丁在采访中表示:“这样做是为了指出这种(入侵)情况确实发生了,并且可能发生在其他物联网设备上。”
用于实验的这台咖啡机搭载的是安卓系统,通过WIFI接入到家庭网络,并且还能连接到手机应用程序,方便用户在手机上管理。这样的设定几乎是目前所有物联网设备的通用做法。
这台咖啡机还能安装固件实现更新,但是,更新途径“没有加密、没有身份验证、也没有代码签名”,这为入侵提供了漏洞。
马丁获取了更新使用的固件,并在计算机上通过IDA进行逆向工程,向固件中植入了代码(如赎金信息),随后通过Python模仿咖啡机的更新过程来实现修改后的固件和脚本,从而触发失控。
当然,这个过程需要了解咖啡机所用的CPU等硬件信息,因此必须将其拆掉。不过,仅仅拆掉一台就能控制其他同类设备,这样的成本对黑客来说并不高。此外,控制了这一网络环境中的某一设备后,对该环境下的其他设备也会造成很大威胁。
控制设备之后,黑客还可以通过屏蔽安全补丁更新,让这一漏洞永远无法修复。
除了向使用者索要赎金,黑客还可以使用这一漏洞进行“挖矿”,从而赚取更多的利益。这也是马丁实验的原本目的,但最终由于咖啡机的硬件配置太低只得做罢。但是,这也提醒我们,对于一些更为高级的智能设备,一旦被入侵将造成更大的损失。
对个人消费者来说,这样的漏洞会带来经济损失。但制造行业、能源行业、运输行业和经济体中的其他工业行业也在使用物联网系统,这些工业物联网系统面临的风险甚至更大。
