智慧鎖很方便 但黑客可能會輕鬆開啟門
【手機中國新聞】智慧家居產品和自動化的裝置都是為了實現簡單生活。 通過家中連線的各種電子產品,無需擔心家務,例如在睡覺前關掉所有燈或外出時確保車庫門關閉。 通過聲音來控制所有智慧家居,是一種快速解放雙手,充滿未來感的生活方式。 但是,風險猶在,特別是智慧鎖。
黑客概念圖
一位名叫Brad “RenderMan” Haines的安全研究員(也就是黑客)表示有一個關於智慧鎖和語音解鎖的技術漏洞。 通過音訊感測器和配合IFTTT技術使用的Z-Wave智慧鎖,能方便入侵者使用語音命令從外部解鎖家中的大門。 這種情況只有在沒有配置好智慧鎖時才會發生,但它的工作原理說明了對於沒有采取基本措施來保障家庭安全的消費者來說,這是潛在的安全漏洞。
這個黑客還嘗試入侵了三個名牌智慧鎖:August Smart Lock Pro、Kwikset Obsidian和Yale Assure SL觸控式螢幕Deadbolt。
智慧鎖是如何工作的
用於解鎖大多數智慧鎖的語音命令都要求口頭輸入PIN碼。而使用短程無線通訊標準的Z-Wave鎖是一個例外。 Z-Wave為智慧家居裝置提供了連線到網際網路集線器的技術,是少數幾種無線技術之一,就像我們在測試中使用的SmartThings集線器一樣。
除了Z-Wave相容性之外,還需要一個IFTTT帳戶。這是一個線上平臺,為具有連線的智慧裝置建立自定義命令和場景。要設定IFTTT命令,您需要將智慧鎖連線到家庭的Z-Wave集線器,然後通過IFTTT登入到您的集線器帳戶。這將連線兩個服務並解鎖所有自動化選項。
黑客概念圖
IFTTT技術並非無一是處。當某個使用者鎖門或解鎖時,您可以使用這些自動連線執行諸如在電子表格中傳送通知或記錄操作等操作。您可以在回家時新增燈和智慧電器,或者在您鎖門離開時關閉電源。
這是件小事嗎?
每次解鎖門時,不必用PIN碼回答提出的問題,會讓您覺得很方便,但這並不安全。 它為那些通過發出響亮而清晰的命令控制智慧揚聲器的人提供了開啟你的家門的方便途徑。 這也可以通過屋外的音訊感測器完成。
簡單地說,音訊感測器採集聲音並將其轉換為電能或聲能。 感測器利用其振動將諧振表面如屋子的木門或玻璃窗變成揚聲器,將聲音投射到家中。 將感測器靠在窗戶上,播放錄音,上面寫著開鎖命令,然後就能開門進去了。
黑客概念圖
入侵者還需要知道你在SmartThings平臺上是如何命名智慧鎖的。這可能聽起來很難猜,但大多數人都會給鎖起一些方便而明顯的名字,如“前門”或“門”。
還有其他入侵可能嗎?
未經授權進入您家是一個主要風險問題,但這不是使用此漏洞的唯一方式。 有的人使用感測器也可以模仿揚聲器執行智慧家居命令,例如開啟燈或開啟智慧燈罩。在語音購買方面,也存在問題。 雖然Google智慧助理需要語音識別或語音程式碼才能完成購買,但Alexa允許您停用語音程式碼。任何聽過您聲音的人都可以購買。 如果發生錯誤購買,您將收到電子郵件收據,並能退貨。 儘管如此,通過智慧揚聲器解鎖和購買產品的安全性仍由使用者自己負責。
August,Kwikset,耶魯,SmartThings和IFTTT這些 公司都做出了迴應,不承認消費者可以選擇繞過PIN,而且表示消費者本身要考慮存在的危險並作好相應措施。