智能家居存安全漏洞 一联网就可能“被黑”

　　近日，《福布斯》女记者卡什米尔·希尔(Kashmir Hill)通过亲身经历证明，可联网的智能家居产品存在诸多安全漏洞。

　　以下为文章全文：

　　“我能看到你家里的所有设备，我认为我能控制他们。”一个周四清晨，我粗鲁地打电话叫醒托马斯·哈勒(Thomas Hatley)，一个住在俄勒冈州的陌生人。

　　他和妻子还没起床。表达惊讶之余，他让我打开和关闭主卧里的电灯。坐在旧金山的卧室里，我轻轻点击一下就完成开关操作，与此同时极力抑制打开电视机的恶作剧冲动。

　　“刚才打开了，现在又关了，”他说，“我真是活见鬼!”

　　根据路透社的消息，家居自动化市场2012年的市值达到15亿美元。许诺能让家居更智能化的产品呈现爆炸式发展。其中最知名的要数Nest恒温器，它能够监测房主的活动，学习他的日程安排和温度偏好，据此给房间加温或减温。很多这种产品都开发了智能手机应用程序和网络接口，方便用户远程操作设备。

　　过着如此高科技的生活也有不利之处。当我们把家里的东西都和网络挂钩时，那些联网设备面临的安全风险都会让我们碰到：它们可能会“被黑”。

　　搜索了一条简单的短语后，我就明白了一系列“智能家居”能干的傻事。这些家庭安装了来自Insteon的自动化系统，用户可远程控制他们的灯光、浴室、电风扇、电视、水管、仓库门、相机等等。主人可以借助智能手机或者网络实现远程控制。傻不傻啊?他们的系统可以在搜索引擎的结果抓取。由于Insteon默认不需要验证用户名和密码，我点击这些链接，就能“黑掉”别人的房间。打开仓库门就能让一个家庭成为被侵犯的目标。

　　托马斯·哈勒的家只是我能入侵的8个家庭当中的一个。一些敏感信息遭到泄露，不仅包括他们使用的应用程序和设备，而且他们所处的时区、IP地址甚至孩子的名字都被获取。显然，当父母的希望能远程控制家里的电视机。其中至少有3个家庭的网络信息足以指向他们现实生活中所在的位置。

　　很多系统的名字都是普通的，但其中一家包含了街道信息，我能够追踪其至康涅狄格州的一所住宅。当我打电话时，一个名叫“克雷格”的家伙接了电话。他表示自己的副业是一名顾问，帮助有需要求的客户安装Insteon的设备。他本人使用该系统也有十年之久。当我自称可以控制他家的系统时，他立刻有了敌意。

　　“有密码的!”他暴躁地回应。“我希望潜在的客户能够看到系统，了解它的运行机制。你不可以控制它，只能看。”

　　我问他，我能打开他家的一个设备。他告诉我打开所在卧室的灯。我做完后，接着是一段意味深长的沉默。“有反应没?”我问道。他说什么也没发生就草草挂断电话。我怀疑他说谎。第二天，他的系统上了锁，只能通过用户名和密码进入。

　　Insteon的安全隐患是Trustwave公司安全专家大卫·布莱恩(David Bryan)丹尼尔·克洛利(Daniel Crowley)在智能家居设备中发现的个案之一。

　　去年12月份，布莱恩购买了Insteon的HUB设备，并在手机上安装了应用，开始监视它的工作状况。

　　“我看到的情况令人担忧，”他说，“智能设备发送控制命令不需要授权。”

　　“你可以打开别人家的热水器，让他的电费账单顶破天。”布莱恩说。他赶紧通过电子邮件联系Insteon的技术支持，并询问获得用户名和密码的方法。Trustwave近期曾就系统的脆弱性与Insteon沟通。Insteon后来解决了HUB的问题，并于2013年初召回该设备。当然，他们并未告诉消费者安全问题是召回产品的原因之一。