智能家居發(fā)展至今已經(jīng)有數(shù)十年時間，之前由于技術發(fā)展的限制，智能家居給人留下的印象是奢侈，土豪如比爾蓋茨這樣的世界首富才能用得上智能家居。隨著移動互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)的飛速發(fā)展，現(xiàn)在的智能家居成本已大幅下降，智能家居不再是富人階層的專享，而是普通消費者均能消費得起的大眾消費品。

　　不過，隨著智能家居使用度的提高，對于智能家居存在的問題也越來越多，尤其是物聯(lián)設備的“隱私安全”問題越來越突出。近日，賽門鐵克最近分析了50款目前上市的智慧家庭設備，對其安全性進行了評估，結(jié)果顯示，許多設備和服務都存在一些基本的安全問題。這些智能家居設備究竟存在哪些安全問題呢?又該如何破解。

　　薄弱的身份認證機制

　　這些設備都沒有使用相互身份認證功能或采用強密碼。更糟糕的是，一些設備將身份認證密碼限定為簡單的四位PIN碼，使得用戶無法在云接口上設置強密碼。此外，這些設備還不支持雙因素身份認證(2FA)，并且無法應對密碼暴力破解攻擊，導致用戶很容易成為攻擊的目標。

　　Web漏洞

　　除了薄弱的身份認證機制外，許多智慧家庭Web接口還容易受到一些眾所周知的Web應用漏洞的困擾。在對15個物聯(lián)網(wǎng)云接口執(zhí)行快速測試后，結(jié)果顯示這些設備存在一些嚴重的漏洞，但此項測試只能檢查表面問題。我們發(fā)現(xiàn)并報告了有關路徑遍歷、不受限制的文件上傳(遠程代碼執(zhí)行)、遠程文件包含(RFI)和 SQL注入等十項漏洞。除了智能燈泡，涉及到的設備還包括智能門鎖。我們可以通過互聯(lián)網(wǎng)遠程開門，甚至無需知道密碼。

　　本地攻擊

　　攻擊者會通過侵入采用弱加密功能的Wi-Fi網(wǎng)絡，攻擊家庭網(wǎng)絡，進而攻擊用戶的智能設備。我們發(fā)現(xiàn)，這些設備以明文方式本地傳輸密碼或者根本不使用任何身份認證功能。物聯(lián)網(wǎng)設備還存在一個共同的特點，即采用未簽名的固件更新。此項安全功能的缺失會讓攻擊者能夠輕易攻破家庭網(wǎng)絡，破解物聯(lián)網(wǎng)設備的密碼。這些被盜的證書可用于執(zhí)行其他命令，甚至還能通過惡意固件更新徹底控制設備。

　　潛在的攻擊

　　到目前為止，我們還未發(fā)現(xiàn)大規(guī)模惡意軟件瞄準智慧家庭設備，例如，路由器和網(wǎng)絡連接存儲設備等與電腦相關的設備。目前，提出的大多數(shù)物聯(lián)網(wǎng)攻擊只是概念驗證，還沒有使攻擊者產(chǎn)生任何利潤。但這并不意味著，未來當技術變得更加主流時，攻擊者不會瞄準物聯(lián)網(wǎng)設備。

　　回顧過去，如果攻擊者的手段沒有新意，我們就不會把他們太當回事，但實則相反，他們總能想到新的攻擊方法。即使只是濫用技術、威脅用戶或者攻擊家庭網(wǎng)絡，網(wǎng)絡犯罪分子總能夠隨時準備并熱衷于進攻任何目標。

　　所以不要過早的滿足于新型智慧家庭自動化項目，需要花點時間想想這些便利的設備會如何暴露您的信息和家庭網(wǎng)絡，進而使它們受到網(wǎng)絡攻擊。這就要求各大制造商生產(chǎn)安全性更高的智慧家庭設備和物聯(lián)網(wǎng)設備，只有這樣，安全問題才能夠得到改善。

　　破解之法

　　不幸的是，用戶難以自行提高物聯(lián)網(wǎng)設備的安全性，這是因為大多數(shù)設備不提供安全的操作模式。盡管如此，用戶還應堅持采納以下建議，確保降低其受到攻擊的風險：

　　1、在設備賬戶和Wi-Fi網(wǎng)絡上采用獨特的強密碼;2、更改默認密碼;3、設置Wi-Fi網(wǎng)絡時，使用安全性更高的加密方法，如WPA2;4、沒有必要時，關閉或保護物聯(lián)網(wǎng)設備的遠程訪問功能;5、如果可以，請使用有線連接，而不是無線連接;6、如果可以，將設備連接到獨立的家庭網(wǎng)絡中;7、購買二手物聯(lián)網(wǎng)設備時要十分小心，這是因為這些設備可能已被篡改;8、研究供應商提供的設備安全保護措施;9、根據(jù)您的需要，修改設備的隱私和安全設置;10、禁用多余的功能;11、安裝最新更新;12、確保像干擾或網(wǎng)絡故障等造成的停機不會導致不安全的安裝狀態(tài);13、確認是否要使用智能功能，或者普通設備是否能夠滿足要求。