「單是紐約市,每年就有200萬人次被反鎖在門外;5個民眾中,就有4個人的手裏拿着他們早已忘記用途的鑰匙。」
這話是 Yves Behar 接受 Business Insider 採訪時說的,Yves Behar 是過去20年間最著名的工業設計師之一,也是智能鎖初創企業 August 的聯合創始人。智能鎖是一種通過藍牙等無線技術實現認證的非物理鑰匙系統,用戶的手機便是鑰匙,只要接近或離開鎖具一定距離,鎖具便會自動解鎖或上鎖;同時你還可以向家人、朋友的手機發送一個臨時的電子鑰匙,而不用再將備用鑰匙藏在門外的地墊下或是花盆裏。
不過,在拉斯維加斯剛剛結束的2016年度 DefCon 黑客大會上,電氣工程師 Antony Rose 和同伴 Ben Ramsey 展示了如何用價值僅100美元的 Ubertooth 嗅探器、40美元的樹莓派(Raspberry Pi,一款基於 Linux 的單板機電腦)、50美元的高性能天線以及15美元的USB藍牙適配器攻擊智能鎖。他們總共測試了16款,破解了其中的12款。
在公布的被破解鎖具名單中,Quicklock 的門鎖和掛鎖、iBluLock 的掛鎖、Plantrace Phantomlock 這四款都以明文形式將密碼傳送給手機,任何擁有藍牙嗅探器的人都能在數據傳輸過程中竊取密碼。四者中,Quicklock 的兩款智能鎖 Doorlock 和 Padlock 還會明文傳送密碼兩次,這使攻擊者不僅能獲取密碼,還能修改密碼。
不過也有四種智能鎖抵抗住了攻擊,它們分別是 Noke Locks、 Masterlock、 August doorlock 和 Kwickset Kevo。這些鎖具都採用了雙因素認證的密碼系統,也沒有在其軟件中包含硬編碼(hard-coded)密碼,因此測試者最終沒能攻入這些智能鎖。不過 Rose 表示,Kwickset Kevo 的鎖具雖然有極好的安全程式進行強加密,但做工非常差,用一個螺絲刀在幾秒內就可以拆掉。
Rose 聲稱,他們在發現漏洞之後已經聯繫了這12家廠商,但僅有1家廠商回應:「我們知道有這個問題,但是我們不打算修復它。」
幾乎可以肯定,未來的網絡攻擊將包括改變或操縱數據以破壞其完整性,並藉此影響決策、減少對系統的信任或造成不良的物理影響。廣泛採用『物聯網』設備和人工智能系統,將會加速這些潛在影響的發揮。
黑掉智能鎖只是8月6日那天黑客們炫技的一小部分。
在這屆為期5天的 DefCon 上,來自世界各地的眾多黑客展示了各式各樣黑進物聯網設備的方法。這些設備不止有智能鎖,還有恆温器、太陽能電池板、閉路電視攝像機、特斯拉的電動汽車,甚至有人表演黑進一款性愛玩具,以竊取其使用者的相關數據。
研調機構 Juniper Research 預估,2018年智能家居市場規模將達710億美元,除了家庭自動化及安全監控外,家庭娛樂影音服務是另一個成長動力。而隨着物聯網設備的增多,網絡黑客有機會潛入與之相連的周邊網絡,掌控更多數據,發起更多攻擊。
聲音
智能鎖的設計非常愚蠢,很多製造商更重視用戶使用的便利性,而非安全性。
有越來越多的黑客開始注意到這些物聯網設備,比起傳統的電腦,這些設備更容易被找到和控制。