别把智能当万能 背后“他们”正在监视你

　　说起比尔·盖茨的豪宅——“世外桃源2.0”，想必大家都不会陌生：访客会获得一个内置芯片的胸针以记录个人喜好，例如室内温度、照明亮度、空气湿度、背景音乐等，这些元素会通过传感器与胸针内进行无线交互，而且彼此之间能够做到相互感应。如果访客没有经过认证，那么系统也会识别出来自动报警。物联网之所以被认为是智能化的基础，并非局限于人去控制设备，而是要让物与物发生“化学反应”。

别把智能当万能 背后“他们”正在监视你（图片来自shutterstock）

　　这样看来，盖茨的家应该算是智能家居的终极形态。回顾智能家居的发展，其实早在八十年代就出现了，通过中央控制设备将家里的电器连接起来，实现单向控制，但这种操作最多也只能算是自动化，而不是智能。物联网的背后是硬件、软件、云计算，而产品智能化的核心除了要让每个电器变得聪明，还要让它们能够彼此感知，也就是让“冰箱听懂空调说的话”。

　　数据显示，到2020年物联网带来的经济附加值将达到1.9万亿美元。根据Metcalfe‘s Law，网络价值和用户数的平方是成正比的，当越来越多的人和智能的物连接在一个网络上，会让整个网络增值。调研机构预计，未来79%的IoT流量将通过网关接入，50%的网络流量将来自物联网，而物联网将贡献超过500亿的连接。NB-IoT大幅降低了连接的功耗和成本，即使是最简单的事物也能提供有价值的物联网服务，对物联网行业的发展是有指数级推动作用的。

　　可以说，物联网带来的价值不止是管道商的红利，对广告商也有潜在的刺激作用，设备商也能借此大做文章。然而，另一份报告却让大家忧心忡忡：物联网漏洞可能会导致关键基础设施被破坏、竞争情报与知识产权遭窃，甚至DDoS攻击增加后也会瘫痪Dyn DNS系统，导致重要网域瘫痪。这并非危言耸听，早在四年前，惠普的安全部门就在市面热销的10款消费级智能家居产品中，发现了250种安全漏洞，涉及品类众多：电视、电源插座、网络摄像头、门锁、警报器、无所不包。显然，很多制造商急着把产品推向市场，并没有做好防护工作。

　　想象一下，你在电子卖场购买了智能插座，回家把空调、冰箱、洗衣机都接上了，不一会儿空调自己开了。后来当你把电脑插上去之后，智能插座也连接了网络，路由器的IP地址随即被修改。再之后，你的摄像头、电视…都开始不由自主地工作，这一切并非科幻事件，而是由背后的黑客在控制。更可怕的是，你的个人信息也会随之曝光。

　　记得在两年前，某家电品牌的智能冰箱系统被白帽子黑客现场攻破，后者成功入侵后实现了对所有家电和家居的控制：家中门窗被打开、电器被任意操控、插座自动断掉、智能家居完全不听使唤。令人不安的是，破解的手段并不复杂，只需要利用智能网关的漏洞绕过监管，直接控制手机APP，就能在无需配对校验的情况下接管所有设备。

　　听说过黑入网络摄像头监视别人的，还没见过控制吸尘器当监视器的，这不就来了。去年，一群闲来无事的白帽子们通过解析某知名品牌的扫地机器人的UART（通用异步收发传输器），发现了其中的逻辑连接关系，并可利用其访问文件系统。当主进程被控制时，该设备与应用程序之间的通讯代码即被攻破。只要绕过反root和SSL pining机制，黑客就能拦截应用流量，再借助假冒的LG账户进行登录。这种情况屡见不鲜，如果赶上大厂商可以及时软件升级还好说，要是半年不更新一次的恐怕就惨了。

　　其实不止是APP端的漏洞，集线器总是被集成在传感器中用于控制连接设备。而这种部件的固件可以在网上下载到对应的版本，并且支持对文件内容的修改。有专家曾经测试过，集线器的固件系统采用的DES加密算法很容易被破解，而且通过物理访问的方式会发现含有序列号的核心命令行是通过HTTP发送的，并没有得到严密保障。以config.jar文件为例，其中可能会包括联网设备的登录名和密码，这就足以发起Web端的攻击了。

　　物联网的风口谁都想抓住，而智能家居的蓝海也让一众配件厂商看到了希望。随着资本市场的疯狂涌入，大家一窝蜂似的搞起了智能设备，但是智能并不等于万能。尤其是在万物互联、智能遍地的今天，黑客并不需要很高的技术门槛。一款名为“Mirai”的恶意软件在短时间内不仅感染了全球数十万台IoT设备，还让亚马逊、Spotify、Twitter等公司瞬间挂掉。

　　随着物联网承载的个人信息逐渐增多，在人们生活中扮演的角色也越来越重要，如何妥善管理这些智能联网设备就变得非常关键。除了大品牌的智能产品之外，一些小厂商的设备仍停留在“噱头”阶段，只是增加了简单的网络控制功能，往好了说是性价比不高，往坏了说稍微懂点技术就被将其破解，对消费者是不负责任的。

　　这些不成熟的产品没有经过多层验证，急于上市使得接口防御尚未完善，导致后期打补丁时的难度变高。此外，由于物联网牵扯的技术既有边缘计算、网络通讯，也有信息处理和交互，使得运行过程出错的几率也会增大。对于初创企业来说，往往会迫于资本压力将产品快速推向市场，而不会投入大力气去做安全方案。

　　综上，如果要让智能家居用着放心，首先要在前端强化硬件防护手段，通过设备可靠性降低风险，例如指纹识别或面部识别；其次，多层加密网络传输通道；另外，在系统层的编码上增加验证流程，保障数据库安全；最后，保持应用端的更新频率，要知道黑客总是会走在你前面。总的来说，构建一套完善的智能家居体系，除了要靠硬件设备商、软件服务商、云计算厂商的合作，还要让资本市场冷静下来谋长远发展，毕竟消费者的利益才是最重要的。