基于物聯(lián)網(wǎng)的智能家居安全問題分析

蘇治中

（廣州市廣播電視大學(xué)，廣東 廣州 510091）

一、智能家居應(yīng)用系統(tǒng)模型

智慧家庭作為物聯(lián)網(wǎng)的一個常見的運用場景，通過感知層、網(wǎng)絡(luò)層和應(yīng)用層等三個層次構(gòu)建出一個動態(tài)的異構(gòu)架構(gòu)。智能家居應(yīng)用系統(tǒng)典型模型如圖1所示，圖中可以看出，智能家居包括服務(wù)端、控制終端（手機、平板、電腦、專用設(shè)備等）、智能終端系統(tǒng)（智能冰箱、掃地機器人、網(wǎng)絡(luò)攝像頭等）和通信網(wǎng)絡(luò)等。

圖1 智能家居應(yīng)用系統(tǒng)典型模型

二、智能家居風(fēng)險分析

由模型可看出，智能家居安全風(fēng)險主要出現(xiàn)在服務(wù)端、控制終端、智能終端系統(tǒng)和通信網(wǎng)絡(luò)等四個方面。

（一）服務(wù)端風(fēng)險

物聯(lián)網(wǎng)的服務(wù)端是整個物聯(lián)網(wǎng)業(yè)務(wù)環(huán)境的中樞，傳感器對數(shù)據(jù)做收集處理、處理結(jié)果反饋給接口用戶等基礎(chǔ)功能，均由服務(wù)端來完成。服務(wù)端常見有以下風(fēng)險：

1.隱私泄露問題

目前行業(yè)內(nèi)智能家居產(chǎn)品，普遍將終端傳感器收集的數(shù)據(jù)上傳到云平臺，以方便用戶的使用和數(shù)據(jù)的優(yōu)化管理。這就導(dǎo)致智能家居服務(wù)端必然存儲和處理著大批量的用戶敏感數(shù)據(jù)，常出現(xiàn)“收集的個人信息過多”“收集的信息沒有得到適當(dāng)?shù)谋Ｗo”的問題。攻擊者往往會樂衷于入侵云服務(wù)提供商來訪問存儲在云端的數(shù)據(jù)，一旦遭受入侵容易導(dǎo)致信息泄露的安全問題。諸如各類智能攝像頭、智能門鈴的影像視頻遭泄露等新聞頻繁出現(xiàn)。

2.不安全的云接口

云平臺接口開放給第三方容易引入安全隱患。一方面，用于保護存儲在云中的私人數(shù)據(jù)的加密算法的加密強度弱，存在缺乏雙因子身份驗證，或者允許用戶使用弱密碼都會有風(fēng)險，比如通過密碼爆破或者登錄認證繞過環(huán)節(jié)實現(xiàn)遠程控制物聯(lián)網(wǎng)設(shè)備或通過惡意修改使用者的身份ID從而達到未授權(quán)瀏覽物聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)中其他使用者的內(nèi)容。服務(wù)器接口開放也意味著可能會造成未授權(quán)調(diào)用、頻繁調(diào)用的問題，導(dǎo)致未授權(quán)獲取服務(wù)器中的敏感數(shù)據(jù)或者批量調(diào)用獲取敏感數(shù)據(jù)的風(fēng)險。

3.傳統(tǒng)服務(wù)器漏洞

服務(wù)器安全屬于傳統(tǒng)安全領(lǐng)域，系統(tǒng)版本及中間件也存在漏洞，如中間件、操作系統(tǒng)、數(shù)據(jù)庫、Web應(yīng)用等，這些程序自身配置的漏洞或設(shè)計缺陷容易導(dǎo)致命令執(zhí)行、非授權(quán)訪問、SQL注入等風(fēng)險，嚴重的甚至能夠直接接管服務(wù)端的控制權(quán)，進而獲取整個智慧家庭的網(wǎng)絡(luò)拓撲、節(jié)點活動信息與控制權(quán)限。

（二）控制終端風(fēng)險

用戶一般通過控制終端中訪問中心的應(yīng)用程序?qū)χ悄芗揖舆M行控制，使得應(yīng)用程序和智能家居系統(tǒng)之間建立一條使用TLS協(xié)議保護的連接鏈路。通過在控制終端下載智能終端對應(yīng)的移動應(yīng)用，控制終端充當(dāng)了用戶與智能終端之間交互的渠道。但手機、平板、電腦等移動終端常常是人們出門必備之物，攻擊者通常利用社會工程學(xué)的手段，在用戶安全意識不強的情況下使得控制終端不安全?？刂平K端常見有以下風(fēng)險：

1.惡意軟件

用戶可能通過連接不安全的WiFi或者在不安全的應(yīng)用商城下載到物聯(lián)網(wǎng)設(shè)備的應(yīng)用程序或使用在線服務(wù)，都可能被惡意軟件感染。尤其是智能手機進行刷機操作后，攻擊者僅需要使用調(diào)試工具就可能繞過軟件認證階段控制受害者的賬戶并控制他的智能設(shè)備。

2.應(yīng)用程序自身漏洞

同樣應(yīng)用程序也會有其它APP一樣的風(fēng)險，若沒有對安裝包做加殼處理或者代碼混淆，攻擊者可以反編譯后加入惡意后門重新打包，再通過應(yīng)用平臺發(fā)布出去，除此以外，還有其它諸如：自身權(quán)限控制管理不足，造成用戶越權(quán)漏洞，A用戶可以查看B用戶的智能設(shè)備并進行操作；登錄驗證強度不足，造成驗證碼爆破漏洞，A用戶的驗證碼可以被無限制次數(shù)進行嘗試登錄。

（三）智能終端風(fēng)險

智慧終端系統(tǒng)由傳感部件及傳感網(wǎng)關(guān)組合而成，主要是完成對信息的采集、辨別和管控。終端根據(jù)通信方式分成三類，一類是使用低功耗近距離通信（Zigbee，RFID），比如照明開關(guān)；一類是通過WiFi連接到局域網(wǎng)，比如掃地機器人；一類是直接連接蜂窩/固定網(wǎng)絡(luò)暴露在互聯(lián)網(wǎng)中，比如智能攝像頭。一般而言，暴露在互聯(lián)網(wǎng)中的智能終端，都有被攻擊的風(fēng)險性。具體有以下三個方面安全隱患:

1.固件安全

固件即是寫入EROM（可擦寫只讀存儲器）或EEPROM（電可擦可編程只讀存儲器）的程序。生產(chǎn)固件設(shè)備的廠商往往會在設(shè)備上留有調(diào)試接口，以便研發(fā)和售后過程中進行調(diào)試，為了進入這些智能終端，不法分子需要先找到這種調(diào)試的接口，俗稱“后門”。他們通過登錄繞過端口探測等技術(shù)手段提權(quán)，執(zhí)行植入僵尸程序，達到完整控制該程序的目的。用戶在購買到被攻擊過的智能終端或者在更新設(shè)備時下載到被植入惡意軟件的硬件版本，就可能使得智能終端被控制。

2.終端自身安全

個別智能終端難以具備完善的安全防護手段，不法分子的攻擊方法也層出不窮，大多數(shù)物聯(lián)網(wǎng)設(shè)備因為未能時常保持最新版本狀態(tài)，或沒有對應(yīng)的更新措施致使智能終端設(shè)備存在的軟硬件風(fēng)險極大。不法分子會借用終端風(fēng)險點投放木馬或病毒，致使終端控制被非法獲取或使終端變成宕機形態(tài)，獲取未授權(quán)的訪問，或者實施大規(guī)模DDOS攻擊、信息泄露、勒索等。

3.隱私泄露問題

當(dāng)前國家對物聯(lián)網(wǎng)終端監(jiān)管力度而言，終端設(shè)備感知行為的合法性無法得到有效保證，可能導(dǎo)致超范圍收集用戶隱私信息；同時，在智能終端當(dāng)中也有數(shù)據(jù)泄露通道，在通信傳輸數(shù)據(jù)時如果加密措施沒把控到位，往往會被竊取或篡改，同網(wǎng)段或相隔網(wǎng)段的智慧終端設(shè)備很大幾率捕抓到其它設(shè)備的敏感數(shù)據(jù)信息。

（四）通信網(wǎng)絡(luò)風(fēng)險

智慧家庭的通信中樞主要用在將感知層獲取的數(shù)據(jù)在網(wǎng)絡(luò)層中進行傳播和加工。具體有以下三方面隱患：

1.竊聽及篡改問題

物聯(lián)網(wǎng)設(shè)備工作時，對手可能會使用各種技術(shù)來截取物聯(lián)網(wǎng)設(shè)備之間的通信信息，這就是竊聽。[1]部分智能設(shè)備的通信網(wǎng)絡(luò)依賴于射頻識別技術(shù)，比如利用RFID結(jié)合體溫感測數(shù)據(jù)的空調(diào)啟動服務(wù)。不法分子會使用竊聽手段分析微型CPU日常運行中所產(chǎn)生的電磁特性，從而取得設(shè)備之間的通信內(nèi)容甚至篡改內(nèi)容。

2.非授權(quán)接入風(fēng)險

針對WiFi類的硬件產(chǎn)品，家里的路由器成為攻擊者首要的攻擊對象。攻擊者可以利用路由器漏洞如弱密碼，繞過認證的方式進入局域網(wǎng)，獲取網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)。

3.拒絕服務(wù)攻擊

對于直接暴露于互聯(lián)網(wǎng)的智能家居設(shè)備，不法分子可能會利用智能終端的接入點發(fā)出巨量的數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)擁堵癱瘓。

三、防護手段

為了保障智能家居的安全，應(yīng)該在產(chǎn)品的設(shè)計之時便把安全思維貫通其中，從服務(wù)端、控制終端、智能終端系統(tǒng)和通信網(wǎng)絡(luò)等搭建整體化的安全風(fēng)控體系，保持警覺，才能保證用戶的利益不被侵犯。我們應(yīng)該在設(shè)計和開發(fā)之初就融入安全的理念，相比后期運行和維護的成本要低得多。

智能家居面臨的隱私挑戰(zhàn)是巨大的，每天都要收集存儲計算大量數(shù)據(jù)。除了部分技術(shù)手段進行身份驗證和訪問控制來保護用戶隱私外，還需要有監(jiān)管政策來保護。政府部門是處理創(chuàng)建和執(zhí)行可能影響組織收集和使用私人信息的法律法規(guī)的實體。收集到的信息的使用是指根據(jù)隱私政策，不同的智能設(shè)備將如何使用從不同來源收集的數(shù)據(jù)，實現(xiàn)最小化收集用戶信息。[2]廠商還應(yīng)在用戶初次購買商品時，向用戶發(fā)送的通知包括涉及收集的信息范圍、提供用戶同意或者拒絕提供信息的權(quán)利等。

（一）服務(wù)端防護手段

服務(wù)端防護手段主要基于數(shù)據(jù)分類分級保護制度的原則針對數(shù)據(jù)庫和云平臺進行防護。除了利用傳統(tǒng)的掃描和滲透測試手段發(fā)現(xiàn)其漏洞外，還需要做到以下防護手段：

1.數(shù)據(jù)庫防護手段

數(shù)據(jù)庫存儲著海量的數(shù)據(jù)，管理員應(yīng)落實數(shù)據(jù)庫訪問控制與權(quán)限控制和數(shù)據(jù)庫備份及恢復(fù)技術(shù)。同時，各企業(yè)應(yīng)建立數(shù)據(jù)分類分級原則，針對每個數(shù)據(jù)庫存儲的數(shù)據(jù)分級，歸屬敏感級別及以上的數(shù)據(jù)應(yīng)著重保護，比如需要加密存儲敏感數(shù)據(jù)的授權(quán)訪問。此外，還應(yīng)建立對數(shù)據(jù)庫定期操作日志審計工作，及時發(fā)現(xiàn)違規(guī)及超范圍或未授權(quán)操作的行為。

2.云平臺防護手段

云平臺一般是給客戶用作以圖形化界面的智能家居終端相關(guān)數(shù)據(jù)展示、統(tǒng)計、計費及遠程管理的能力。云平臺應(yīng)做好用戶身份驗證、訪問控制和角色劃分，使用有效的權(quán)限控制方法與技術(shù)限制非授權(quán)的訪問和控制請求。如果云平臺開放了第三方API接口，服務(wù)端運維廠商應(yīng)定期清查對外開放接口，及時清理非必要開放或者已過期開放的接口；對發(fā)現(xiàn)出現(xiàn)頻繁調(diào)用接口的現(xiàn)象，應(yīng)分析原因后及時遏止。

3.巡檢報警手段

智能控制云平臺應(yīng)加設(shè)巡檢報警功能，通過傳感器和信息收集模塊實時巡查收集異常數(shù)據(jù)，及時發(fā)現(xiàn)異常情況，一旦出現(xiàn)緊急情況，設(shè)備能夠發(fā)出告警聲、告警燈閃，實時撥打110電話報警，并通過智能終端遠程告知用戶，使用戶及時做出應(yīng)對措施，減少安全事故的影響，用戶可按需部署或撤銷報警功能，如無人在家模式、分區(qū)域報警模式等，實現(xiàn)防盜和防誤操作的安全功能，降低人為安全隱患，確保人身與家庭財產(chǎn)安全。

（二）控制終端防護手段

控制終端防護手段主要是基于APP安全與登錄驗證安全。

1.APP反編譯安全

未經(jīng)加殼處理的控制終端應(yīng)用很容易做到二次打包的操作，攻擊者可以把惡意代碼二次打包進終端控制APP，終端應(yīng)用進行加殼保護處理并混淆核心代碼，使用安全證書進行簽名認證后再分發(fā)到應(yīng)用商場，加殼保護可以很大程度上防止被植入惡意代碼，使用安全證書簽名可以加密與服務(wù)端或智能終端的數(shù)據(jù)包，防止中間人攻擊。

2.AppActivity組件安全

Activity如果設(shè)置不當(dāng)，病毒軟件會模仿控制終端的指定支付或登錄界面進行復(fù)制覆蓋，騙取用戶信任，使其在假冒界面輸入敏感信息，最終造成釣魚劫持危害。這種攻擊手段，經(jīng)常出現(xiàn)在控制終端的登錄或支付環(huán)境，欺騙用戶輸入賬號、密碼、支付密碼等，達到竊取敏感信息的目的。加設(shè)防護時應(yīng)通過獲取棧Activity，判斷當(dāng)前運行的是否本控制終端，一旦發(fā)現(xiàn)應(yīng)用被切換，提示終端客戶注意防范釣魚界面環(huán)境的欺騙。

3.控制終端登錄驗證

應(yīng)使用多因素驗證手段，如賬號+口令+短信驗證碼+圖像驗證碼或滑塊進行用戶身份驗證，強制用戶使用復(fù)雜度強的口令，若涉及重要操作時，應(yīng)加上人臉識別和指紋識別（如開保險柜和開門鎖），防止控制終端被利用漏洞入侵，進而盜取財產(chǎn)。

（三）智能終端防護手段

智能終端包括掃地機器人，網(wǎng)絡(luò)攝像頭，智能冰箱等，運用的通信技術(shù)及傳感器各異，結(jié)合其面臨的安全問題，我們可以從硬件和通信方面采取安全防護措施。

首先，增強智能終端的認證和鑒權(quán)機制，采用多因素認證方式，提高密鑰安全級別，同時對用戶名等重要信息的傳輸進行加密；[3]認證能夠保證每個數(shù)據(jù)包源頭的不可否認性和真實性，防止偽造，拒絕為來自偽造節(jié)點的信息服務(wù)，防御對智能終端的拒絕服務(wù)攻擊。其次，增強權(quán)限控制策略，互聯(lián)網(wǎng)設(shè)備在使用時，生產(chǎn)商應(yīng)增強對設(shè)備使用者的權(quán)限控制，使用有效的權(quán)限控制方法與技術(shù)限制非授權(quán)的訪問和控制請求。最后，開發(fā)商需要做到安全升級的過程，升級前做好運行測試，在向設(shè)備傳輸補丁前，先使用加密簽名進行驗證。外加全智能下載升級系統(tǒng)版本：利用預(yù)設(shè)下載插件的方式對使用者的固件進行升級，很大程度遏止出現(xiàn)漏洞時使用者沒有及時升級造成危害的情況出現(xiàn)。[4]

（四）通信網(wǎng)絡(luò)防護手段

通信網(wǎng)絡(luò)防護手段主要是基于傳輸安全和防范拒絕服務(wù)。

傳輸過程中應(yīng)使用可信的加密傳輸協(xié)議，如Https、Ssh、Vsftp等，避免明文傳輸數(shù)據(jù)，以防被竊聽和篡改通信數(shù)據(jù)。

建立接入白名單機制，綁定合法智能終端的MAC地址與合法IP地址，防止非法的程序在用戶不知情狀態(tài)下接入網(wǎng)絡(luò)與進行DDOS攻擊造成的網(wǎng)絡(luò)癱瘓。

四、結(jié)束語

萬物互聯(lián)，安全先行。在智能家居產(chǎn)業(yè)大潮澎湃之際，智能家居的安全問題必須同步發(fā)展。人們在從智能家居中受益的同時，必須最大限度地降低當(dāng)前和未來智能家居可能造成的安全風(fēng)險。本文對智能家居的現(xiàn)狀及風(fēng)險做出分析，提出在設(shè)計和發(fā)展之初就應(yīng)融入安全的觀點和如何解決智能家居帶來的隱私問題。只有兼顧功能與安全性，才會有可靠保障的服務(wù)與創(chuàng)新。