目前,围绕着所谓物联网的一个值得注意的问题就是,白帽黑客们已经有法子攻破联网的电灯泡,只要能接近你的LED设备,你的WI-Fi密码就不再安全。
LIFX公司生产的智能电灯泡,可以通过安卓和IOS系统自动实现开关。而上述的黑客攻击就是针对这款电灯泡。Ars的高级评论编辑李﹒哈钦森评价了飞利浦公司的Hue系列灯泡,同样是一款可与LIFX灯泡相媲美的可程序控制的LED灯泡。这些灯泡都是目前的发展趋势,生产者赋予了这些产品可编程联网的能力,这样人们就可以通过智能手机,电脑和其它联网设备来远程控制这些灯泡。2012年Kickstarter 众筹网站的一次活动为LIFX筹资多达130多万美元,是预期目标的13倍。
本周的一篇博客帖子声称,当得知研究人员发现黑客可以在30米内获得保护Wi-Fi网络的密码,LIFX公司已经及时更新了可以控制灯泡的固件设备。联网灯泡的证书都是由6LoWPAN技术支持的网状网络提供的,6LoWPAN标准是基于IEEE 802.15.4实现的无线通信。这些灯泡都是根据美国高级加密标准(AES)来进行加密的,潜在的预享钥匙没有改变,因此黑客很容易攻破。
来自安全顾问Context的研究人员认为,“只要具备编码算法、钥匙、初始化向量的知识,再加上了解网状网络协议, 我们就可以把数据包植入网状网络,获得Wi-Fi细节,从而破解证书,不需要任何身份验证也不留任何破绽。”
这篇帖子认为,依靠隐身来阻止黑客的攻击是毫无用处的。然而通常被称作隐身安全的方法,还是巩固了当今的物联网络的。LIFX公司1.1版本的固件因为无法下载,所以黑客无法进行逆向复制,也就无法破解加密证书。Context的工程师找到了解决这个难题的方案。他们改变了植入在每个灯泡的微调节器,并把调试硬件接入不同的JTAG接口,以此来监测一旦灯泡添加或移除到一个网络时所发出的信号。这个过程费时费力,但研究人员认为“只有这样我们可轻松地排除来自每个芯片的闪存,从而展开硬件的逆向复制过程。”
值得庆幸,LIFX公司积极回应了Context这项新发现。现在1.3版本的固件已使用Wi-Fi证书的加密钥匙给所有6LoWPAN通信进行加密,同样新灯泡连接网络时都会进行安全检测。考虑到170万美元的筹措资金,我们很遗憾在灯泡正式进入大众市场之前,灯泡公司自己并没有及时发现这个隐性缺点。许多人认为任何类型的软件更新都比较麻烦,并且固件升级也是比较困难并存在风险的。
市场销售人员让人们认为如果他们还没让自己的冰箱、恒温器和其它传统家居用品联网,他们就太落伍了。然而很多事实也表明这些设备会导致网络和私人信息的安全问题,这些在不联网的迭代编程中是不会出现的。微软、苹果公司和谷歌都投入大量资源来维护其产品和服务的安全。希望在物联网时代谋求一席之地的生产者都会积极把一部分精力用来保护他们设备的安全。
