我问他,我能打开他家的一个设备。他告诉我打开所在卧室的灯。我做完后,接着是一段意味深长的沉默。“有反应没?”我问道。他说什么也没发生就草草挂断电话。我怀疑他说谎。第二天,他的系统上了锁,只能通过用户名和密码进入。
Insteon的安全隐患是Trustwave公司安全专家大卫-布莱恩(David Bryan)丹尼尔-克洛利(Daniel Crowley)在智能家居设备中发现的个案之一。
去年12月份,布莱恩购买了Insteon的HUB设备,并在手机上安装了应用,开始监视它的工作状况。
“我看到的情况令人担忧,”他说,“智能设备发送控制命令不需要授权。”
“你可以打开别人家的热水器,让他的电费账单顶破天。”布莱恩说。他赶紧通过电子邮件联系Insteon的技术支持,并询问获得用户名和密码的方法。Trustwave近期曾就系统的脆弱性与Insteon沟通。Insteon后来解决了HUB的问题,并于2013年初召回该设备。当然,他们并未告诉消费者安全问题是召回产品的原因之一。
Insteon的首席信息官麦克-努尔斯(Mike Nunes),他在网络上看到的系统都来自一些停产的产品。它们之所以出现在搜索引擎中,完全是用户的责任。他表示,老产品最初并非用于远程控制,设置这种功能需要用户费一点周折。装置本身附带操作手册,告诉用户如何将装置联网,并强烈建议他们增加用户名和密码。
“这需要用户将一个链接粘贴至网络,而用户可能没有设置用户名和密码。”努尔斯说。我告诉努尔斯,如果产品默认需要设置用户名密码,就不会犯这样的错误。“我也支持和鼓励这么做。”他说。
在托马斯-哈勒的例子中,他创建了一个网站,作为接入家庭设备的入口。他的网站设置了密码,但你可以绕开它,直接进入不受密码保护的Insteon端口。“可以这么说,我承担一部分责任。因为家里的路由器是我亲自配置的,”哈勒说,“但是我没有意识到那个端口可以从外部网络进入。”
Insteon公司当前的产品自动分配用户名和密码,这在产品发布的前几个月是没有的事情。布莱恩恰恰买的就是没有被自动分配密码的产品。布莱恩还表示,产品新的认证手段很“糟糕”。很多黑客只需很少的工作量就能够破解它。
Insteon产品默认不需要密码的问题和Trendnet IP相机几年前的漏洞类似。不需要认证意味着任何人只要获得相机的IP地址,就能观看相机内的照片流。
即便没有面向公众的网站,只要产品具备这样的隐患,任何人搞清楚系统的地址后就能控制他人的家居。
