在明尼苏达州的一个普通住宅里,律师丹尼尔·斯文森(Daniel Swenson)正坐在沙发上,和家人一起悠闲地看着电视。
突然,扫地机器人传来滋啦滋啦的声音。奇怪,没人启动它啊?
斯文森打开手机看扫地机器人的控制 App,赫然发现多出了一名陌生用户。他重启扫地机器人,完事继续看电视。
然而沙发还没坐热,扫地机器人又活过来了!这次机器人不仅发出滋啦滋啦的运行噪音,还开口说话了!
这个画面真的很好笑,一个闪耀着简洁科技感的扫地机器人,突然化身说唱歌手;另一方面也很恼人,这个机器人开口说的,是一连串含有种族歧视内容的脏话!
最终,机器人先是被黑客附身,又被生气的主人扔进了地库。
这个事情有点无厘头,但也给我们上了一课:黑客想入侵的,早就不只是大公司的绝密文件夹了!
万物联网后,黑客路子越走越宽
入侵扫地机器人的黑客不止一个。
就在斯文森的扫地机器人受到入侵的同一天,另一台位于洛杉矶的扫地机器人也遭到了攻击。据报道,这名扫地机器人不仅出口成脏,还在家里追着狗子跑。
只是一个示意图丨giphy
相关品牌所属的公司后来发布了声明,说这不是啥高级的网络战,而是常见的“撞库”。
所谓“撞库”,指黑客们收集互联网中遭到泄露的账号和密码,并利用这些信息登录不同的网站和服务——如果刚好有人在不同网站、App 都用了一样的账户和密码,那就“撞”上了。
“撞”对了账号密码,从互联网普及以来就一直很常见。过去几十年,这对个人的影响可能仅限于互联网账户被乱用(熟悉吗:“本人 QQ 被盗,收到借钱消息切勿相信”),但如今家里电器都用上了智能系统,账号被盗的影响就从线上延伸到了线下。
好在靠“撞”运气入侵的黑客,技术一般不算高明,心中一般也没有“大志”,就做些招猫逗狗的小破事。
但有些黑客,不仅路子越走越宽、开始入侵普通人家里,还真会玩点阴的。
这些电器,竟然也被盯上了?
随着家里联网的设备越来越多,黑客入侵的途径也越发让人意料不到。
1
不给钱就冷死你
2016 年的 DEF CON 黑客大会上,来自英国安全公司的研究员展示了一种攻击家庭恒温器的勒索软件。
通过勒索程序,入侵者可以远程锁定恒温器的温度,开到极高或极低,并且在屏幕上显示勒索信息。
这真的够狠,不交钱,冷死或热死,还巨费电;交钱,你知道今天 1 个比特币差不多等于 50 万人民币吗……
“你的恒温器被永久设置为1摄氏度,如果你想重新获得控制权,请存入1比特币”|OWASP London/Youtube
注意,这不完全是虚构案例,背后是研究人员在恒温器中发现的真实漏洞。当然,他们也连连承诺会尽快修复该漏洞。
不免走神发出疑惑:这算魔法攻击还是物理攻击呢?
2
让冰箱发垃圾邮件
没想到吧,冰箱也能被入侵!
黑客入侵冰箱,不是为了偷食物,也不是改变温度加速食物腐坏,而是让冰箱做了另一件匪夷所思的事:发大量的垃圾邮件。
2014 年,安全公司 Proofpoint 发现了一起离奇的网络攻击事件。黑客入侵了超过 10 万台设备,把这些设备组成僵尸网络(botnet),并通过控制这些设备发送了超过 75 万封垃圾邮件。
这些被入侵的设备里,只有约 75% 是有发邮件功能的设备,比如电脑和智能手机。通过分析设备标识,Proofpoint 研究人员发现,其余受害设备是联网的电视、路由器,甚至冰箱。
哎呀,用冰箱发垃圾邮件,是不是也算一种厨余垃圾呢?删除的时候放哪个垃圾桶呢?
图丨giphy
还有一件事儿。在 2015 年的 DEF CON 黑客大会,安全研究人员发现某品牌智能冰箱的一个漏洞:冰箱通过 WiFi 链接到谷歌等远程服务器时,并没有启用加密的安全认证方式,黑客可以利用这个漏洞窃取用户的谷歌登录凭证。
人们对冰箱太放心了,以至于根本想不到它会被黑客盯上。“冰箱不是保险箱”这句话,在这一刻有了更多的内涵。
3
灯泡感染你全家
如果说恒温器、冰箱看起来还跟“智能”“科技”扯得上关系,那灯泡呢?
2020 年,研究人员成功入侵了一款智能灯泡,并可以远程调整灯泡的颜色和亮度,让你温馨宁静的家变成闪耀舞池。
这只是第一步。
发现灯泡发疯,你总要去纠正一下吧?当你在手机里重置灯泡并再次接入网络时,这颗灯泡已经感染了“病毒”,并通过网络开始传染:向网桥发送大量数据,从而触发缓冲区溢出并安装恶意软件。
原来这个灯变成了黑客的阿拉丁神灯啊!
还好这只是试验,制造商也在后续升级中修复了漏洞。不过这也暴露出一个问题:一些不完善的智能设备存在漏洞,很容易成为攻入家庭网络的入口——然而这些联网的小电器,往往是我们最不上心的。
这种便宜的联网灯泡,谁会想到它是黑客的入侵通道呢?
4
连儿童玩具也不放过!
智能化的玩具也有可能泄露一些秘密。有一款泰迪熊可以当电话用,孩子能通过它跟远方的父母进行联网语音,异地的情侣当然也能使用。
创意很浪漫,但设计这款玩具的公司忽略了数据安全问题,他们一直将用户信息和语音数据放在一个没有防火墙保护的数据库中。于是,2017 年,这个数据库被黑客入侵了,超过 200 万条录音被公布在了网上。
这会带来多少个喜怒哀乐的后果,我们可以自行脑补——万幸这个玩具并没有拍照和拍视频的功能。
被当枪使的当事泰迪熊丨cloudpets.com
挺讽刺的一件事是,就在数据库被入侵的前几天,德国电信监管机构发了一篇关于联网玩具的警告,表示使用者的交谈可能被黑客监听。
好家伙,泰迪熊竟然出演谍战片了!
虽说智能电器客观上给黑客拓宽了路,但物联网依然是未来的趋势,毕竟智能化家居真的太爽了啊!
作为确实有隐私(甚至有存款)的消费者,大可不必因噎废食,建议在买联网电器的时候就选大品牌(最起码出了事有地方说理)、定期更换密码防止“撞库”。另外,智能电器手机端 App 的更新提示,你还是理会一下吧,指不定就在修复黑客入侵的 bug 呢!
策划制作
来源丨果壳(ID:Guokr42)
作者丨普拉斯G
责编丨杨雅萍
审校丨徐来、林林
本文封面图片及文内图片来自版权图库
来源: 科普中国微信公众号