【導讀】智能照明的概念早已不是一朝一夕,滲入到千家萬戶是遲早的事情,黑客們竟然把黑手伸向了智能LED燈泡,已經(jīng)可以盜走WI-FI密碼,你怕了嗎?
目前,圍繞著所謂物聯(lián)網(wǎng)的一個值得注意的問題就是,白帽黑客們已經(jīng)有法子攻破聯(lián)網(wǎng)的電燈泡,只要能接近你的LED設備,你的WI-Fi密碼就不再安全。
LIFX公司生產(chǎn)的智能電燈泡,可以通過安卓和IOS系統(tǒng)自動實現(xiàn)開關。而上述的黑客攻擊就是針對這款電燈泡。Ars的高級評論編輯李﹒哈欽森評價了飛利浦公司的Hue系列燈泡,同樣是一款可與LIFX燈泡相媲美的可程序控制的LED燈泡。這些燈泡都是目前的發(fā)展趨勢,生產(chǎn)者賦予了這些產(chǎn)品可編程聯(lián)網(wǎng)的能力,這樣人們就可以通過智能手機,電腦和其它聯(lián)網(wǎng)設備來遠程控制這些燈泡。2012年Kickstarter眾籌網(wǎng)站的一次活動為LIFX籌資多達130多萬美元,是預期目標的13倍。
本周的一篇博客帖子聲稱,當?shù)弥芯咳藛T發(fā)現(xiàn)黑客可以在30米內(nèi)獲得保護Wi-Fi網(wǎng)絡的密碼,LIFX公司已經(jīng)及時更新了可以控制燈泡的固件設備。聯(lián)網(wǎng)燈泡的證書都是由6LoWPAN技術支持的網(wǎng)狀網(wǎng)絡提供的,6LoWPAN標準是基于IEEE802.15.4實現(xiàn)的無線通信。這些燈泡都是根據(jù)美國高級加密標準(AES)來進行加密的,潛在的預享鑰匙沒有改變,因此黑客很容易攻破。
來自安全顧問Context的研究人員認為,“只要具備編碼算法、鑰匙、初始化向量的知識,再加上了解網(wǎng)狀網(wǎng)絡協(xié)議,我們就可以把數(shù)據(jù)包植入網(wǎng)狀網(wǎng)絡,獲得Wi-Fi細節(jié),從而破解證書,不需要任何身份驗證也不留任何破綻。”這篇帖子認為,依靠隱身來阻止黑客的攻擊是毫無用處的。然而通常被稱作隱身安全的方法,還是鞏固了當今的物聯(lián)網(wǎng)絡的。LIFX公司1.1版本的固件因為無法下載,所以黑客無法進行逆向復制,也就無法破解加密證書。Context的工程師找到了解決這個難題的方案。他們改變了植入在每個燈泡的微調節(jié)器,并把調試硬件接入不同的JTAG接口,以此來監(jiān)測一旦燈泡添加或移除到一個網(wǎng)絡時所發(fā)出的信號。這個過程費時費力,但研究人員認為“只有這樣我們可輕松地排除來自每個芯片的閃存,從而展開硬件的逆向復制過程。”
值得慶幸,LIFX公司積極回應了Context這項新發(fā)現(xiàn)?,F(xiàn)在1.3版本的固件已使用Wi-Fi證書的加密鑰匙給所有6LoWPAN通信進行加密,同樣新燈泡連接網(wǎng)絡時都會進行安全檢測。考慮到170萬美元的籌措資金,我們很遺憾在燈泡正式進入大眾市場之前,燈泡公司自己并沒有及時發(fā)現(xiàn)這個隱性缺點。許多人認為任何類型的軟件更新都比較麻煩,并且固件升級也是比較困難并存在風險的。
市場銷售人員讓人們認為如果他們還沒讓自己的冰箱、恒溫器和其它傳統(tǒng)家居用品聯(lián)網(wǎng),他們就太落伍了。然而很多事實也表明這些設備會導致網(wǎng)絡和私人信息的安全問題,這些在不聯(lián)網(wǎng)的迭代編程中是不會出現(xiàn)的。微軟、蘋果公司和谷歌都投入大量資源來維護其產(chǎn)品和服務的安全。希望在物聯(lián)網(wǎng)時代謀求一席之地的生產(chǎn)者都會積極把一部分精力用來保護他們設備的安全。
物聯(lián)網(wǎng)概念雖然好,但是如果被不法分子利用就不好了,這對技術人員就有了更高的要求,怎么設計的更嚴謹是很重要的。