現(xiàn)在家里的所有電器都可以連接到云,連接到互聯(lián)網(wǎng)。我們的空調(diào)和監(jiān)控器都已經(jīng)連接到云了,冰箱和電視都可以在線了,甚至連電飯煲都能連接到互聯(lián)網(wǎng)了。我們和我們的機器用品都越來越緊密地連接在一起了,不管我們愿意不愿意,需要不需要……
下面來談?wù)勲娨。幾年前,我買的電視還只是個電視,可能比更早前屏幕大些,分辨率高些。但是去年我買新電視的時候,它就不一樣了,它被植入了一個小型計算機它有了別的東西了。不太明顯,我差點忽略了。
其他人也會注意到這些電腦。實際上,行業(yè)內(nèi)對智能云電視的討論很多。去年黑帽安全大會的兩位研究人員就曾經(jīng)討論過他們發(fā)現(xiàn)的遠程黑客攻擊。他們發(fā)現(xiàn)是SamsungSmartTV應(yīng)用上的跨占腳本攻擊(這種應(yīng)用通常是用JavaScript寫的)。使用跨占腳本攻擊,他們獲得了本地用戶的權(quán)限。他們還能使用本地權(quán)限提升來獲得系統(tǒng)權(quán)限。問題是默認運行所有電視應(yīng)用的用戶ID都擁有root權(quán)限。走出沙盒就足以獲得系統(tǒng)的所有控制了。
受到這段討論的啟發(fā),我開始在家研究自己的電視。結(jié)果發(fā)現(xiàn),智慧電視的安全系統(tǒng)非常脆弱,很容易受到攻擊。我發(fā)現(xiàn)使用到處都能找到的開發(fā)者帳戶可以在機器上安裝應(yīng)用,包括帶有漏洞的應(yīng)用。只要黑客能接近電視,他就能用類似的方法在電視上安裝后門,用以攻擊。此外,電視的接口等也能被黑客利用。
云電視的未來令人擔憂,這些電視就就放在家里,而且很容易被攻擊。但是在電視還沒這么智能的時候,從來沒有電視被黑,或監(jiān)控家人的報道。不只是電視,還有很多我們越來越依賴的小東西。我們的生活已經(jīng)被這些小東西所包圍,一旦他們被黑,就是我們的生活被黑,我們存儲在其上的視頻等資料數(shù)據(jù)將被竊,生活隱私很難保障。
即使那些可能攻擊智能云電視和其他智能家用電器的惡意軟件沒有這么快進入我們的生活,我們也不能放松警惕。在安全行業(yè)內(nèi)也是如此。如果沒有實際的攻擊,就不會開發(fā)針對他們的安全措施。在很多情況下安全是一種應(yīng)激反應(yīng)。當惡意軟件出現(xiàn)的時候,安全廠商就會發(fā)布簽名去捕捉新的變量,即使它和上一個惡意軟件有98%的相似度。應(yīng)用漏洞的修補也是采用這種模式。
智能家用電器的另一個問題是還沒有能檢測出攻擊的工具。你怎么知道智能電器被攻擊了?即使知道了,那又該如何反攻擊呢?目前還沒有可用的官方工具發(fā)布。而且,通常我們能獲得的唯一信息還是行業(yè)內(nèi)那些善意的熱心人編制的,而廠商們采用黑盒模式(模糊安全)的方法,而不是公開系統(tǒng)的有效信息。
但是我們也不是完全束手無策。智能電器通常和電腦以及手機等使用相同的的操作系統(tǒng)和應(yīng)用,如果需要保護,那么電腦和手機等設(shè)備上的安全措施也適用于云電視等智能電器。