三星的智能冰箱刚刚上市。其余的智能家居怎么样?

3599美元是很多钱。

它可以为您提供像样的二手车或相对受骗的iMac。您可以购买3599个McChicken汉堡或2589个McDoubles。否则,它可能会给您带来三星RF28HMELBSR。

这台(俗称的)冰箱拥有一切。它有四个门,一个巨大的28立方英尺的空间,以及一个集成的,支持WiFi的8英寸LCD触摸屏显示器,使您可以做任何事情,从阅读新闻到远程控制Android智能手机。

如果听起来很熟悉,那是因为它曾经被列入我有史以来最笨的智能家居产品列表中。我是否提到过它附带了一个巨大的,巨大的安全漏洞?

是的,尽管它非常复杂,但该冰箱附带了一个重大的安全漏洞,有可能使攻击者秘密获取Gmail登录凭据。

该漏洞于8月24日首次在The Register中报告,并由英国信息安全公司Pen Test Parters在最近的Defcon 23会议上参加物联网(IoT)黑客挑战时发现。 p>

此冰箱上的内置触摸屏使用户可以访问自己的Google日历。与Google服务器之间的连接使用SSL加密进行加密,但是三星的SSL实现无法检查证书的有效性。

这会带来严重的安全性问题,因为网络上的任何人都会能够发起“中间人"攻击,并在传输过程中拦截用户的登录凭据。攻击者还可以通过欺骗接入点或通过无线取消身份验证攻击来获取它们。

三星表示,他们正在“尽快调查此事"。

em>,并且大概正在努力发布此修复程序。但是,这一集确实展示了一个有趣的示例,说明了安全在物联网上的严重错误。

在过去,我们已经广泛讨论了物联网带来的风险,这两者都是从隐私权。解决这些问题很困难,因为在保护物联网方面,我们会遇到一些问题。

首先,这些设备不是PC或电话,因为它们易于更新( Windows 10甚至会代表您安装更新),并且涉及其后的供应商并定期发布软件和安全更新。许多智能家居产品不会通过无线方式进行“更新",要么要求您使用复杂或不可靠的软件包,可移动存储,要么根本不允许您更新固件。

您如何,例如,更新互连的咖啡壶或计算机恒温器?没有简单,通用的方法。

重要的是要解决这样一个事实,即许多这样的设备现在都是由普通人在家中建造的。 Arduino和Raspberry Pi使我们能够将网络连接和计算机逻辑引入我们从未想到过的地方,而像Microsoft的IoT Windows 10这样的产品使将这些设备暴露于更广泛的Internet上变得更加容易,同时打开了一个广阔的世界。

尽管许多经验丰富的开发人员都知道如何以安全的方式构建这些设备,但太多的新手和业余爱好者却不知道。

然后我们继续长寿的问题。同样,这个问题是智能家居世界特有的。因为虽然您的PC和Phone运行的软件是由历史悠久且财力雄厚的公司制造的,但是大多数智能家居设备却没有。

这些公司中的绝大多数是早期到后期的初创公司,许多这些都处于发展的暂定阶段。如果他们关闭了,已经发货的产品会怎样?谁来编写软件更新和安全补丁?

就像我们过去所写的那样,硬件创业公司很难。今年以来,我们已经看到两家最大的智能家居初创企业Leeo和Wink发生了重大裁员。

但是,也许诸如Lumos之类的更多产品还没有完全破土动工。

也许对智能家居和物联网安全的最大,最持久的威胁就是这些设备的使用寿命比其使用寿命更长。制造商会更喜欢。嵌入式系统和智能家居产品可以愉快地工作很多年。其中许多服务无法在订阅服务上使用。

我们是否期望Nest和Philips在Microsoft支持Windows XP的情况下提供更新?

这些安全问题会大大加剧由于这些设备中有许多已连接到更广泛的Internet并可以远程访问,因此带来了一系列安全隐患。

由于将某些内容连接到Internet时,您随后引入了新的攻击媒介如此有动力的人。无需连接到您的家庭网络,其他人就可以远程破坏它。

它也比您想像的要容易。甚至还有一个用于嵌入式系统的搜索引擎,称为Shodan。只需几次按键,您就可以找到全球范围内已暴露于Internet的系统-从日本的发电厂到荷兰的网络摄像头,再到纽约的VoIP电话。

只需搜索“ Web摄像头"公开了数千个可远程访问的网络摄像头。但是,我没有任何访问权限,因为这几乎肯定会导致我违反1990年《计算机滥用法案》。

这很可怕。我们已经开始将房屋介绍给互联网,并且很容易找到房屋,并对房屋发起针对性的攻击。我们应该担心。

安全漏洞(例如三星的Android冰箱中发现的安全漏洞)将始终存在。只要供应商可以轻松地发布修补程序,并且在设备的整个生命周期内不断对其进行更新,那么这并不是什么大问题。

但是我们必须解决其他问题,这一点很重要。需要努力确保智能家居和物联网产品的开发人员知道如何开发安全系统。这可以通过与安全社区进行更广泛的联系来实现。

对此有很多先例。 OWASP(开放式Web应用程序安全性项目)项目立即浮现在脑海.2004年推出,该项目免费提供了教育材料,教给开发人员如何构建安全的网站以及黑客如何正确测试Web应用程序的安全性。

没有理由无法为智能家居世界和物联网开发人员创建类似的东西。

此外,我们需要确保智能家居系统更新和维护,即使供应商折叠。这可以通过强制每个人将其代码发布到源代码托管中来实现,如果公司申请破产,则该代码将被释放,否则将无法以令人满意的方式维护该软件。

作为消费者,我们应该开始对供应商提出更多要求。我们应该要求我们购买的设备在产品的生命周期内受安全补丁支持。我们应该期望任何安全问题都能得到迅速,果断的解决。我们应该期望供应商以绝对透明的方式对待安全威胁。我们不应该光顾那些未能达到该微薄标准的供应商。

这些都是相对较小的变化,但是没有理由认为它们不会带来更安全的智能家居设备。但是您怎么看?

如果您有任何想法,或者有关于IoT不安全的恐怖故事,我想听听他们的看法。在下面的评论中让我知道,我们将聊天。

图片来源:Arduino实验套件(Oomlout),IMG_5145(JWalsh)

标签: 在线安全 智能设备