智能家居的 “撞库” 风险

安全 终端安全 CIOAge
当今世界,智能家居面临六大主要安全风险:窃听、重放攻击、消息通知、拒绝服务、恶意代码,以及假冒攻击。我们不妨看看各种攻击的运行机制。

随着技术进步和联网电子设备价格的下降,拥有联网智能家居的成本也越来越低。安置在房间各处和集成到家电中的传感器,可为屋主提供远程监视和管理家居功能的便利。

[[263410]]

Rehman & Manickam 发表于2016年的论文指出,智能家居包含三个部分:室内、室外和门户。室内环境由物理联网设备组成,比如智能门锁、视频门铃、智能家电、WiFi恒温器等。室外环境保障接入智能服务提供商以进行远程访问与管理,而门户设备则充当室内与室外环境的桥梁。基于上面描述的几种角色,在评估智能家居固有风险的时候,这三种组件都必须纳入考虑。

智能家居如今面临的风险

当今世界,智能家居面临六大主要安全风险:窃听、重放攻击、消息通知、拒绝服务、恶意代码,以及假冒攻击。我们不妨看看各种攻击的运行机制:

1. 窃听

就是攻击者未经用户授权即监视室内和室外环境的互联网流量。监听期间流经该网络的数据就会落入攻击者囊中。这类攻击破坏的是智能家居环境的机密性。

2. 重放攻击

指的是攻击者捕获智能家居设备执行的动作,然后重放该动作以得到相同的结果。重放攻击执行方式多样,比如窃听、捕获某动作的网络流量再重新发送该网络流量给设备。如果智能家居拥有语音助手,捕获已授权用户的命令语音再重放给智能音箱,大多数情况下都能绕过声纹鉴定。

3. 消息通知

是攻击者捕获流量,然后修改消息中的参数和数据,恶意篡改既定动作。

4. 拒绝服务

攻击可使智能家居设备宕机。某些智能家居安全设备在断电或连不上互联网服务时会自动处于开放状态。如果你的智能门锁突然断开与智能家居提供商的连接,而作为安全措施门锁自动解锁的时候,就可能会引发一些问题。因消防安全规定要求,带故障自动打开功能的商业智能门锁越来越常见。另外,智能家居互联网连接拒绝服务有可能造成很多设备的安全功能都无法运行。比如说,屋主使用视频摄像头系统在云端存储录像,如果没有互联网连接,摄像头就无法存储录下的视频,入侵者只需引发互联网连接掉线就能从安防录像中完全消失。

5. 恶意代码

利用智能设备固件和软件中的漏洞,是选择恰当智能家居技术时应该考虑的一种威胁。如果智能设备的固件不经常更新和修复,攻击者就能利用已经存在的漏洞和公开的漏洞利用程序获取该设备的访问权。由于大多数智能家居设备都要求互联网连接,越来越多的提供商要求开启自动更新以防止设备在未更新的情况下被使用。智能家居设备的持续安全更新由制造该设备的公司提供。

6. 假冒攻击

是指未授权攻击者被当成合法用户加以授权攫取利益。2018年,两名安全研究人员采用运营关键威胁、资产、及漏洞评估框架(OCTAVE)识别智能家居的网络安全风险。他们的分析中,智能家居面临的高风险,就是因攻击者拥有作为合法用户的所有控制而对智能家居系统进行的未授权访问。

然而,除此之外,还有一种攻击是我们上面还未讨论到的。在数据泄露越来越频繁发生,之前的数据泄露聚集的数据在互联网上大肆传播的今天,智能家居未授权访问的威胁可能是凭证填充攻击,大批量针对数据库的凭证填充攻击又俗称撞库,指重用被黑凭证以获取对账户和服务的未授权访问。由于其执行难度低,成功率高,且泄露数据广泛可用,凭证填充攻击正成为智能家居安全及隐私方面的重要问题。

凭证填充风险已成为公司企业的负担,因为他们试图跟上并保护其用户,抵御旧口令及其变体的重用。Braue今年援引多个来源以证明凭证填充是一个严重的威胁。作为回应,安全行业正提升其对口令重用攻击的响应。比如说,Nest发现近期数据泄露中含有客户的口令时,便锁定用户账户直到其口令有所修改才解锁账户;这一做法便受到了安全社区的广泛赞誉。

保护智能家居免受数字威胁

智能家居用户应选择能够提供技术性安全控制以防止授权攻击的技术,比如双因子身份验证。越来越多的供应商都将双因子身份验证作为一项保护账户的可选安全功能,但并未默认启用。使用双因子身份验证可使智能家居服务大幅降低未授权访问的风险。任何情况下都应启用双因子身份验证。

选择成熟且信誉良好的公司所生产的智能家居技术也很重要。成熟厂家不仅会更好地支持你的智能家居设备,也更有可能提供软件更新,增强你设备的安全性,并更好地防止未授权访问。这些资金充裕的公司更不容易被黑,也安排有员工为用户提供保障。选用杂牌智能家居产品简直就是在邀请灾难入住。为了省几块钱而牺牲自家的隐私和安全不是大多数人愿意承受的。

管理性安全控制可用于修改智能家居用户使用凭证的过程。一些简单的策略,比如从不重用同一个口令,在其他安全的地方存储口令等,也可以降低凭证填充的风险。为每一个服务都设置一个独特的口令很耗时间也难以记忆,所以,采用口令管理器就是一个不错的策略。用于智能家居的所有口令都应超过这些服务的最低复杂度要求。保护智能家居用户免受凭证填充危害的方式就是采用名为 “Password Checkup” 的谷歌Chrome扩展。这一最近发布的工具会在检测到有人采用已泄露的用户名和口令对时发出警报。

智能家居用户面临的最大风险是智能家居系统未授权访问。综合采用口令管理器之类技术性安全控制,启用双因子身份验证和谷歌 Password Checkup 工具,再结合管理性安全控制,可以大幅降低拥有智能家居的风险。治理口令使用以保证凭证不被重用且符合复杂度要求的管理性控制,使终端用户能够更好地保护自身,且不仅仅是智能家居服务可用,其他所有需要身份验证的服务都可用。

选用靠谱的智能家居提供商能够支持、处理和看顾你的信息,提供持续的产品更新。随着越来越多的用户开始发现自动化家居设备的价值,智能家居行业逐渐呈现欣欣向荣的状态。智能家居数据分析的进步发展正在减少家居持有的成本,令用户能够最大化取暖和降温等可变成本的结余。

Rehman & Manickam 的论文:

https://www.worldscientific.com/doi/abs/10.1142/S0218539316400052

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2024-01-15 11:07:18

2021-01-22 10:01:37

智能家居物联网智能科技

2019-12-24 19:31:27

智能家居物联网技术

2023-06-28 17:31:07

2015-09-28 09:37:49

2022-06-13 10:23:12

智能家居漏洞网络攻击

2015-01-09 09:35:11

2021-12-13 22:50:16

物联网智能家居数据

2023-05-16 09:53:18

ChatGPT人工智能

2018-09-19 16:20:17

智能系统开源

2013-07-15 13:28:23

智能家居智能

2022-07-01 10:28:24

智能家居网络安全漏洞

2023-10-12 11:27:42

智能家居人工智能

2021-01-15 15:36:32

人工智能智能家居机器人

2022-05-25 10:03:38

机器人智能家居

2023-06-25 14:44:27

2023-10-07 10:14:04

2023-03-01 10:08:52

2009-07-31 10:52:09

新电气世界智能家庭布线

2014-06-19 10:18:54

智能家居程序员
点赞
收藏

51CTO技术栈公众号