现在家里的所有电器都可以连接到云,连接到互联网。我们的空调和监控器都已经连接到云了,冰箱和电视都可以在线了,甚至连电饭煲都能连接到互联网了。我们和我们的机器用品都越来越紧密地连接在一起了,不管我们愿意不愿意,需要不需要……
下面来谈谈电视。几年前,我买的电视还只是个电视,可能比更早前屏幕大些,分辨率高些。但是去年我买新电视的时候,它就不一样了,它被植入了一个小型计算机它有了别的东西了。不太明显,我差点忽略了。
其他人也会注意到这些电脑。实际上,行业内对智能云电视的讨论很多。去年黑帽安全大会的两位研究人员就曾经讨论过他们发现的远程黑客攻击。他们发现是Samsung Smart TV应用上的跨占脚本攻击(这种应用通常是用JavaScript写的)。使用跨占脚本攻击,他们获得了本地用户的权限。他们还能使用本地权限提升来获得系统权限。问题是默认运行所有电视应用的用户ID都拥有root权限。走出沙盒就足以获得系统的所有控制了。
受到这段讨论的启发,我开始在家研究自己的电视。结果发现,智慧电视的安全系统非常脆弱,很容易受到攻击。我发现使用到处都能找到的开发者帐户可以在机器上安装应用,包括带有漏洞的应用。只要黑客能接近电视,他就能用类似的方法在电视上安装后门,用以攻击。此外,电视的接口等也能被黑客利用。
云电视的未来令人担忧,这些电视就就放在家里,而且很容易被攻击。但是在电视还没这么智能的时候,从来没有电视被黑,或监控家人的报道。不只是电视,还有很多我们越来越依赖的小东西。我们的生活已经被这些小东西所包围,一旦他们被黑,就是我们的生活被黑,我们存储在其上的视频等资料数据将被窃,生活隐私很难保障。
即使那些可能攻击智能云电视和其他智能家用电器的恶意软件没有这么快进入我们的生活,我们也不能放松警惕。在安全行业内也是如此。如果没有实际的攻击,就不会开发针对他们的安全措施。在很多情况下安全是一种应激反应。当恶意软件出现的时候,安全厂商就会发布签名去捕捉新的变量,即使它和上一个恶意软件有98%的相似度。应用漏洞的修补也是采用这种模式。
智能家用电器的另一个问题是还没有能检测出攻击的工具。你怎么知道智能电器被攻击了?即使知道了,那又该如何反攻击呢?目前还没有可用的官方工具发布。而且,通常我们能获得的唯一信息还是行业内那些善意的热心人编制的,而厂商们采用黑盒模式(模糊安全)的方法,而不是公开系统的有效信息。
但是我们也不是完全束手无策。智能电器通常和电脑以及手机等使用相同的的操作系统和应用,如果需要保护,那么电脑和手机等设备上的安全措施也适用于云电视等智能电器。