“单是纽约市,每年就有200万人次被反锁在门外;5个民众中,就有4个人的手里拿着他们早已忘记用途的钥匙。”
这话是 Yves Behar 接受 Business Insider 采访时说的,Yves Behar 是过去20年间最著名的工业设计师之一,也是智能锁初创企业 August 的联合创始人。智能锁是一种通过蓝牙等无线技术实现认证的非物理钥匙系统,用户的手机便是钥匙,只要接近或离开锁具一定距离,锁具便会自动解锁或上锁;同时你还可以向家人、朋友的手机发送一个临时的电子钥匙,而不用再将备用钥匙藏在门外的地垫下或是花盆里。
不过,在拉斯维加斯刚刚结束的2016年度 DefCon 黑客大会上,电气工程师 Antony Rose 和同伴 Ben Ramsey 展示了如何用价值仅100美元的 Ubertooth 嗅探器、40美元的树莓派(Raspberry Pi,一款基于 Linux 的单板机电脑)、50美元的高性能天线以及15美元的USB蓝牙适配器攻击智能锁。他们总共测试了16款,破解了其中的12款。
在公布的被破解锁具名单中,Quicklock 的门锁和挂锁、iBluLock 的挂锁、Plantrace Phantomlock 这四款都以明文形式将密码传送给手机,任何拥有蓝牙嗅探器的人都能在数据传输过程中窃取密码。四者中,Quicklock 的两款智能锁 Doorlock 和 Padlock 还会明文传送密码两次,这使攻击者不仅能获取密码,还能修改密码。
不过也有四种智能锁抵抗住了攻击,它们分别是 Noke Locks、 Masterlock、 August doorlock 和 Kwickset Kevo。这些锁具都采用了双因素认证的密码系统,也没有在其软件中包含硬编码(hard-coded)密码,因此测试者最终没能攻入这些智能锁。不过 Rose 表示,Kwickset Kevo 的锁具虽然有极好的安全程序进行强加密,但做工非常差,用一个螺丝刀在几秒内就可以拆掉。
Rose 声称,他们在发现漏洞之后已经联系了这12家厂商,但仅有1家厂商回应:“我们知道有这个问题,但是我们不打算修复它。”
几乎可以肯定,未来的网络攻击将包括改变或操纵数据以破坏其完整性,并借此影响决策、减少对系统的信任或造成不良的物理影响。广泛采用‘物联网’设备和人工智能系统,将会加速这些潜在影响的发挥。
黑掉智能锁只是8月6日那天黑客们炫技的一小部分。
在这届为期5天的 DefCon 上,来自世界各地的众多黑客展示了各式各样黑进物联网设备的方法。这些设备不止有智能锁,还有恒温器、太阳能电池板、闭路电视摄像机、特斯拉的电动汽车,甚至有人表演黑进一款性爱玩具,以窃取其使用者的相关数据。
研调机构 Juniper Research 预估,2018年智能家居市场规模将达710亿美元,除了家庭自动化及安全监控外,家庭娱乐影音服务是另一个成长动力。而随着物联网设备的增多,网络黑客有机会潜入与之相连的周边网络,掌控更多数据,发起更多攻击。
声音
智能锁的设计非常愚蠢,很多制造商更重视用户使用的便利性,而非安全性。
有越来越多的黑客开始注意到这些物联网设备,比起传统的电脑,这些设备更容易被找到和控制。