為何黑客們說智能硬件不安全

一般來說，一個行業火爆的標誌，是它的各個方麵都被反複談論驗證。

所以，今年帝都的幾場安全峰會上，大家都在討論智能硬件也就不那麼奇怪。這確實是今年最熱門的行業。

當然，在那上麵討論，大多意味著不太好的結果。比如幾位演講者的問答中，他們會普遍認為：現在的智能硬件產品，安全做的真弱。

怎麼說呢？隔壁家用的智能插座，隨時可以控製開關；隔壁家的智能電話，隨時可以切換播放畫麵；網絡上的攝像頭，有一大波是默認密碼可以直接觀看。

在知道創宇的Kcon上，黑哥講述了不安全的原因：“現在的智能設備，包括智能家居有很大一部分都是基於Wi-Fi的，像最近炒得比較熱的小米電視、互聯網機頂盒、攝像頭、空調等等，基於Wi-Fi，你可以控製家中所有設備。但Wi-Fi本身是一個很開放的東西，家中客人問要密碼你肯定要給。另外一方麵，傳統電器、遙控都是用的紅外，這個隔著一堵牆信號就斷了。但Wi-Fi的範圍較大，可能你的樓上樓下都能連上，他們哪天說家裏網絡問題借用下Wi-Fi給還是不給？給了之後，基於Wi-Fi認證的東西，邏輯上講，他都可以控製。”

同在Kcon的Redrain、冷風也分析了汽車ODB接口、嵌入式內核係統的入侵可能性。而這兩樣，也是近期極為熱門的智能汽車、泛物聯網領域所經常用到的東西。

稍後幾周的烏雲安全峰會，進一步把智能家居安全作為演講議題之一放上去。Livers的演講“智能家居，光環下的玄機”偏重案例講解，他詳數了市麵上熱門的智能路由產品：360安全路由、百度小度路由、小米路由、華為立方……，無一例外都曾出現漏洞，並且部分可能還未修複。

為何會出現這樣的情況？一位白帽子給出了精辟答案：“這個領域還太新，積累太少。大家隻求能夠功能正常運行，而忽視了背後的安全建設。”

Tombkeeper進一步表述：“很多智能硬件可能和傳統的PC、包括手機差異會相對大一些。第一，智能硬件有非常多的品種，可能會使用一些比較新的技術，它無法直接把我們之前在PC上積累的那些安全知識、硬件方法直接承襲。第二，智能硬件作為一個新事物，任何新的產品剛開發的時候，開發者和廠商可能不會特別重視。無論是什麼硬件、什麼操作係統，都是這樣。它需要有一個過程。”

如何避免被黑？遠離或許是個可以妥善解決的主意。不過真的離開這些充滿想象力、未來趨勢的設備，卻又是一個糾結的過程。

接下來一段時間，雷鋒網(公眾號：雷鋒網)將開設安全專欄，請安全專家講述智能硬件可能存在的不安全之處，比如無密碼直接聯網、藍牙連接驗證等。這個專欄的目的在於為行業積累經驗，為大眾解惑。如果你對正在使用的某款硬件、某個流程有疑慮，不妨留言說說。我們邀請的安全專家或許可以幫忙解答。