你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了,或當你離開家時遠端關閉你突然想到的電器,這些都很吸引人,而智慧型手機廠商也正在試圖提供我們這樣的未來。
自從手機熱潮開始,智慧型手機已經成為我們生活中不可或缺的一部分,它們也是今日快節奏的世界裡不可缺少的東西。它們可以幫我們無時無刻地連結到我們的朋友和家人,也讓我們可以點一點螢幕就完成我們的日常工作。我們和智慧型手機已經形成如此牢固的關係,也讓網路犯罪份子將其納入他們獲取金錢的攻擊目標。無論是好是壞,智慧型手機已經成為我們日常生活必備工具的重要部分。
隨著改變之風吹起,智慧型手機似乎會成為我們生活中更重要的一部分,而這和物聯網有關。當iOS 8推出時,Apple同時介紹了HomeKit,這是一個可以幫助使用者在家裡管理第三方物聯網設備的應用程式服務。有了HomeKit,使用者可以將安裝在一個房間裡的設備都群組起來,對每個房間群組都設定唯一的參數/控制。這讓使用者可以方便地修改設定,不管是房間到房間或更加細微的設定。在本文撰寫時,Google還沒有提供對應的產品,但我們在未來的日子裡一定會看到。
隨著這樣的發展,我們已經可以預期它會成為下一件大事情,不管是因為其所帶來的整體方便性或是酷的程度。從這電子玩意來控制家中幾乎所有的東西時,什麼是最便利的,和老實說 – 最令人興奮的部分?像是你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了,或當你離開家時遠端關閉你突然想到的電器,這些都很吸引人,而智慧型手機廠商也正在試圖提供我們這樣的未來。
但這只是硬幣的一面。另一面,不幸的,將智慧型手機加入到你的自動化住家生態系統可能不是最安全的決定。因為該平台有許多安全隱憂 – 我們已經在這部落格討論了不少 – 可能會帶到你家中具備物聯網功能的設備,進而讓你容易受到網路犯罪攻擊。網路犯罪份子駭入你的手機來替你訂閱加值服務?已經有了。網路犯罪份子透過你的手機駭入你的保安系統,將其關閉好讓他們可以搶你?這很有可能發生!
物聯網(IoT ,Internet of Things) 是這網路時代所出現技術裡最令人興奮的概念之一。帶領著我們一步步地接近未來世界的住家,大多數(如果不是全部)家電不僅可以連到網路上,也可以透過一中央控制中心來實現全面的控制和自動化,無論我們身在哪裡(或至少,只要我們可以連網。)
然而,不管如何令人興奮,我們還是要小心地進行。因為大多數應用在這新時代的技術仍是基於目前的行動設備技術(智慧型電視、智慧型家電等),有可能遭受和今日行動設備相同的安全問題。
還有一個事實就是,行動設備(尤其是智慧型手機)可能很快就會成為我們住家的「中央控制中心」,因為我們用它來管理我們所有的家電和保全系統。Google和Apple已經開始在各自的行動平台上制定住家自動化管理應用程式。比方說,最近所推出的iOS8 Homekit,宣稱可以完全控制住家和內部所有的網路設備,而且可以讓使用者輕易地根據所在房間來群組設備。
那麼想想看,這對物聯網(IoT ,Internet of Things)會有什麼潛在風險。它讓網路犯罪份子駭入別人的智慧型手機進而進入別人家中不再只是科幻幻想,而是可能發生的現實場景。行動設備已經趕上了個人電腦,成為最被針對的平台。所以毫無疑問的,網路犯罪份子會找到方法來開發此新領域的財路。
可能出現的風險
使用智慧型手機作為自動化住家的中央遙控器意味著這平台內的所有安全威脅都可能會影響到住家。下面是這些威脅例子和它們會如何影響到自動化的住家:
- 作業系統漏洞 – 網路犯罪分子可以利用智慧型手機作業系統底層的漏洞來控制智慧型手機,進而可以控制自動化住家,像是關閉保全系統,甚至監視家人活動來進而勒索或資料竊取。
- 應用程式漏洞 – 應用程式漏洞可被利用來取得收發的資料以達到竊取或勒索的目的。甚至可以再次用來控制整個控制中心,或防止惡意軟體被偵測或移除。
- 行動惡意軟體 – 手機惡意軟體可以用來攔截或竊取來自控制中心和與其連接設備的資料或透過遠端惡意攻擊來取得控制中心的控制權。它也可能會感染帶有螢幕的電器使其出現廣告軟體或惱人的彈出視窗。
- 高風險應用程式 – 這應用程式不一定是惡意軟體,但被編寫來收集和儲存資料,可能會被不安全的使用。可以被利用來竊取導致滲透家中網路的資料。
- 實體遺失/被竊/破壞 – 智慧型手機(也就是控制中心)的遺失/被竊/破壞不僅會讓使用者無法進入自己的家或開啓/關閉必要的系統,也讓網路犯罪分子能夠非法進入他家。這問題的嚴重性不僅在於控制中心的安全性,還包括整個房子。控制中心被破壞也意味著要重新佈線和將一切設定回原狀,這都要花費寶貴的時間和資源。
- 不安全的連線 – 管理連接系統的專有應用程式和控制中心可能不會使用加密來保護他們在網路上收發的資訊。這可能會導致資料外洩或被竊取。儲存在智慧型手機本身的資料也可能被偷走。
我們可以從這些潛在威脅看出用來作為自動化住家遠端控制中心的智慧型手機如果被駭,後果有多可怕。不僅會讓不法份子有可能控制你的住家和設備,也可能竊取資料。
一個情境例子:使用者在上班,遠離了他的自動化住家,將他Android作業系統的智慧型手機註冊和安裝為控制中心。使用者不知道的是,網路犯罪份子已經透過漏洞入侵了他的智慧型手機 – 可能是因為從第三方網站替他最愛的遊戲下載一個「正常的更新程式」。這更新將惡意程式碼插入原本正常的遊戲程式,有效地將其木馬化,但仍然讓它保留正常使用狀態。
該木馬化應用程式會接收來自它遠端惡意使用者的指令,控制智慧型手機並在使用者不知情和未授權下關閉家中的保全系統。因此不法份子不需要擔心被發現或是被攝影機照到,而且使用者將一無所知。
繼續對這假設性的情境,網路犯罪分子也可能利用上述攻擊模式來讓使用者和其家人被資料情蒐 – 利用其所控制的系統來監聽以竊取資料來進行勒索、身份竊取和其他惡意目的。被劫持的系統也可以用於製造家中的混亂,像是在使用者使用的時候開開關關,或讓家電長時間的開啟,這可能導致財產損失或高昂的電費。
不只是可能,而是近乎真實
一些可供使用的物聯網(IoT ,Internet of Things)功能產品已被證明可能被入侵。最近一個例子是LIFX的智慧型燈泡 – 這是具備網路能力的燈泡,可以透過iOS/Android設備來開關。
它的韌體被發現具有漏洞,會讓30公尺內的駭客取得無線網路密碼。這漏洞讓只要超過一個以上的LIFX燈泡連到同一個無線網路,第一個燈泡會和第二個燈泡共享網路憑證,但這種方式的加密可以讓附近的任何人截獲並加以破解共享資訊。一旦無線網路憑證被截取,那駭客控制自動化住家其他更重要部分(如使用者電腦或是保全系統)也就只是時間問題了。
其他值得注意的事件包括概念證明的惡意軟體攻擊,可能導致使用智慧型手機控制的飛利浦HUE LED照明系統停擺。另一個是具備網路功能的Belkin嬰兒監視器被變成竊聽裝置,因為它不安全的「簡易一次性連接」功能,讓任何人都可以聽到被監視的嬰兒(或屋內的談話)。後者還被發現任何使用與嬰兒監視器相同技術的設備(即同一產線上的任何產品)都可以被快速輕易地轉成竊聽設備。
我們相信,隨著越來越多物聯網產品出現,未來會發現更多類似的事情。
保護物聯網
那可以做些什麼來防護物聯網,智慧型手機應該成為關鍵部分來運作整套系統?
對於尚未進入到物聯網世界的人,我們的建議是等待。這技術仍然很新,還在測試中,也還並不穩定,即使已經有眾多產品面市可供使用。在開發商和製造商都還在摸索階段就投入可能會讓你的住家和家人遭受你尚未準備面對的風險。
而對早期採用者,我們有一些建議:
- 向會定期更新產品韌體的廠商購買物聯網產品。任何系統都會有缺陷或漏洞,也因為如此,廠商會釋出韌體更新來在此情況下修補其物聯網設備。
- 保護網路。任何連到家庭網路的設備都必須具備安全和防護入侵的能力。這包括了路由器和所有連接到它的電腦和行動設備。
最重要的是,我們必須強調,要被作為遠端控制中心的智慧型手機必須被防護好,就跟網路的其他部分一樣。一個安全解決方案,以及其所有內建而的安全功能將有助於防止它成為網路的弱點。
使用者還應該考慮從遠端控制中心和自己日常使用的智慧型手機分開來 – 從根本上將其從休閒/個人用途移除。這消除其下載惡意應用程式到設備上的機會,和防止安全漏洞發揮作用。這也有助於保護遠端控制中心被竊或遺失。
物聯網讓我們對明天充滿了新的願景。但跟其他所有領域一樣,它也有著自己的挑戰,我們必須小心地應對。
@原文出處:Mobile Security and the Internet of Everything: The Smartphone Remote Hub Problem