智能家居很酷,直到被黑的那一刻
当人们觉得移动互联网单单在智能手机上已经玩不出什么花样的时候,它开始“入侵”更多的领域——可穿戴设备、汽车…以及我们天天在用的家具电器。
对关注前沿科技的人来说,“智能家居”和“物联网”无疑是很酷的概念——物与物相互连接,智能移动设备充当万能遥控器角色。
等等,剧情的发展一般都不会那么顺利。福布斯的报道就算是给科技狂热者们浇了一盆冷水。
“我能看到你家里的所有设备,而且我想我能控制它们。”“扯淡,我才不信,你把我卧室里的灯打开看看?” 啪嗒!灯亮了。“见鬼!你是怎么做到的?”
福布斯作者 Kashmir Hill 的答案是“Google 一下,你也可以。”
简单的 Google 搜索让我找到了一份“智能家庭”列表,它们都用着来自 Insteon 公司的自动化系统,这套系统能让用户通过 App 或者网络远程控制家里的灯泡、电视、车库门等东西。但最傻的问题在于,这套系统默认不需要用户名和密码,这使得它们能够轻易地被搜索引擎抓到。
用户的诸多私密信息被一览无余,不仅仅是那些智能家居设备,还有时区、IP 地址,甚至他家小孩的名字。在 Kashmir 找到的八家之中,有三家的信息足以完成“一次 O2O(线上到线下)的转换”了——先是从网上信息追踪到现实住址,“得益”于这套智能家居系统的愚蠢漏洞,我还能先打开你家空调,确保我开门进去的时候不会被热到。
Insteon 漏洞并不是个例。据安全调查公司 Trustwave 的 David Bryan 和 Daniel Crowley 所了解到的情况,许多智能家居设备存在同样的漏洞,其中包括一些蓝牙方案和 Wi-Fi 方案。
就 Insteon 的情况,CIO Mike Nunes 回应称 Insteon 这些出现漏洞的早期产品并不是为了远程控制设计的,而且配置这些设备需要用户有一定的技术知识。他还说附产品附带的说明书里强烈建议用户设置用户名和密码。
为了补救,Insteon 已经紧急召回了出现漏洞的早期产品,并已经在新一代产品将用户名和密码设置为默认选项。TrustWave 的 Daniel Crowley 表示:
高科技让我很兴奋,大漏洞让我很心寒。
好在,智能家居还在发展早期。至少对中国的大多数人来说,说出“我家最近被黑了”这句话还比较遥远。当然我认为,也同时希望,在这些技术普及的时候,智能家居会有比较成熟且完备的方案。
而且,科技的进步总是不可避免要有代价。相比 Douglas Tompkins 提出的这些关于人类发展的问题,智能家居被黑的问题反而看起来有些渺小了。只是我总觉得,有警醒是好事,耸人听闻的调调就有些没必要了。
题图来自 hoffmanfirm