智能家居作为物联网的一个典型行业应用,发展迅速,智能家居设备越来普及,进入千家万户。
小黑盒本尊
黑盒的铜线圈贴近智能锁,在锁体不同的位置游走,同时一下一下按下触发键,“唰”,随着锁体里电机转动声,原本设置指纹和密码的智能锁打开了!最快的真的只用了3秒钟!
为何智能门锁如此“不经撩”?
经专家实测后发现,原来最大的漏洞在智能锁的电机输入信号上。
“小黑盒的脉冲干扰产生电流,经过智能锁内部的元器件,产生一种信号,让系统误以为是正常指令,触发了电机启动,然后门锁被打开”。专家谈到,其实除了智能门锁,在智能家居行业还存在许多安全威胁。
智能家居行业的安全风险
智能设备风险:一是智能设备主要通过网络远程控制,常用的传感通信技术包括WiFi、RFID、蓝牙、ZigBee、NB-IoT、GPS等,这些技术都暴露了不同程度的安全问题,具体包括明文密码、通用密码、重放攻击和中间人攻击等;二是智能家居的硬件传感器连接相对暴露,并且对访问控制的强度不足,通常信任传感器的信号输入,这就为攻击信号提供了执行的可能性;三是智能设备大多都是基于linux Kernel 开发的,而Linux最初并不是针对这类终端设计的,所以在适配新型的智能设备后会产生很多新的安全漏洞,或者linux内存在的漏洞,由于智能设备的更新周期长或根本没有固件更新功能,从而引发安全问题。
智能APP风险:智能家居APP的远程控制智能家居设备为用户提供了非常大的便利,目前由于各智能家居厂商网络安全意识比较薄弱,导致在APP开发时安全方面的设计不全面,另外由于大部分APP由于急需市场需求和成本问题,开发完成后未进行安全加固和审查。具体问题包括:伪造应用、不安全的授权与数据通信及存储、调试日志信息泄露风险、源代码反编译风险和数据任意备份风险等。
智慧云平台风险:目前智能家居厂商部署的智慧云服务器普遍采用开源框架,或者老版本的web应用服务器,导致云端的管理系统和数据web接口存在着很多传统Web的安全隐患,同样由于目前智能家居厂商的安全性意识比较薄弱,对用户隐私问题重视度不够,对权限控制不是很严格,由此导致了了一系列风险,具体包括:管理后台与测试接口暴露、身份认证不足、暴力破解、web典型漏洞等。
如何应对
1.标准先行
在做产品的时候,要严格遵守相关标准。例如国际上的ISO/IEC安全标准、FDA安全要求、NIST安全标准,和国内目前出行的物联网、智能终端、智能家居等安全标准。
2.安全防护
通过安全监测的漏洞挖掘和风险评估结果映射出智能家居的各方面安全隐患,经分析可发现需在六个方面进行安全防护,可限制目前大部分安全问题。分别是:终端加固、传输安全、网络防护、应用安全、数据泄露、业务风险。
3. 安全监测
记录每天产生日志数据,包括终端行为日志、网络安全日志、系统运行及入侵检测日志、WAF防护日志以及网络流量、基线检查等信息。基于这些日志,通过大数据安全分析平台,借助模式匹配、沙盒分析、机器学习、专家经验等规则,有的放矢提取情境数据,建立用户行为画像,实现异常行为数据的自动识别、分析和关联,还原攻击路径并进行全链路风险打标和综合评分,精准有效感知业务系统可能存在的风险隐患以及特定的APT攻击,同时与异常流量清洗平台联动,保障业务系统的安全性和客户数据的隐私性。