数据安全的印第安纳大学研究人员调查窃听网络慢炖锅的漏洞,容易控制设备和其他设备共享其wi - fi router-but他们发现没有远程攻击者点燃它的风险。这是好消息。

现在,坏消息是:网络连接设计比消费者意识到到更多的设备,包括备用厨房设备,家庭娱乐系统和儿童玩具。优化能源消耗和简化自己的生活,消费者采取了聊天群机器人生成、收集、通过物联网和共享数据(物联网)。

到达临界点购买者不能合理的知道他们是生成数据;谁有权访问这些数据;这意味着隐私、安全、甚至人身安全问题。它变得越来越难以退出。

印第安纳大学的研究人员的安全与隐私信息、计算与工程中心(香料)和物联网研究中心在布卢明顿,印第安纳州,已经开始敲响了警钟。

物联网研究中心建立了一个活生生的实验室被称为物联网,由五年国家科学基金会资助的。这是满屋IoT-connected烟雾警报器,恒温器,照明系统、玩具、电器、和其他产品。

“我们要求大学网络中大量的防御机制是降低,模拟一个典型的家庭,”约书亚Streiff说,项目经理在物联网的房子。仔细,环境是大学的网络隔离开来,以避免暴露附近学术用户的完全开放的网络流量流经一个典型的郊区的房子。行业和学术界研究人员提交他们的发现当他们发现product-security缺口。

Streiff拿起一个彩色的填充玩具叫做CloudPet独角兽。它允许一个孩子通过蓝牙发送和接收语音信息低能(bie)模块嵌入到其豪华的身体和搭配了一个手机应用程序连接到云服务器的数据。它是可爱而臭名昭著。

“研究人员提出了警钟CloudPet独角兽多年来,“标致说。“这是设计基本上没有安全。Mozilla最终说服亚马逊和eBay把它,随后,该品牌被中断,但玩具仍然是。有时这样的制造商停止销售物联网设备,但他们几乎从不回忆道。”

玩具可以用来追踪孩子的位置,和黑客可以发送虚假信息。“如果我有错误的意图,我可以穿过一个街区,确定孩子们住的地方,“虽然斯特雷夫说。“我能找到独角兽的BLE模块和发送语音信息让孩子相信我是他的父母和说服他。”

去年12月,美国华盛顿邮报》报道父母发现黑客通过他们喊着色情和威胁巢凸轮,作为一个婴儿监视器。说:“巢不是砍Behnood Momenzadeh,博士生工作物联网。“人们的电子邮件账户被黑,黑客就能够访问他们的巢账户和更改权限。所以技术的结合把家庭置于危险之中。”

费雪智能玩具提供了另一个对象教训。玩具是为了“说话、倾听和学习”,有一个摄像头安装在其nose-not录音,但总是在。“泰迪熊造成威胁,因为设计师认为没人会打开这事,看下里面“标致说。

熊基本上包含了一个完整的Android平板电脑。“这平板电脑可以做任何事,包括视频和邮件,“标致说。“它有一个硬件数据端口。你可以使用远程与键盘。一次实际发生的袭击在设备上需要我打开这只熊。但在三分钟之后,我的熊,在世界任何地方。”

后门入侵发生在表面上安全的网站。去年,安全官员得知数据盗窃盗取一个赌场的大手大脚的列表从其网络,获得IoT-connected通过安全漏洞恒温器在赌场的大厅的鱼缸。几乎没有国内的专业数据安全一个赌场。

再次考虑Crock-Pot-it由贝尔金和合并Wemo贝尔金的无线物联网技术连接。Streiff说,问题是系统内置的设计假设个人设置慢炖锅还必须自己的网络上的一切。软件的目的是寻找其他兼容的无线设备连接,给安装程序完全控制和访问这些设备,。另外,可以设置远程访问控制,给世界上任何位置的控制。

“它可能是酷能够控制慢炖锅从我的手机,但这也意味着我可以控制一切,没有自己的独立的密码,所以可以任何人谁可以进入慢炖锅,“标致说。“如果温控器和冰箱里可以交流,总功率的使用能显著改善。问题是,黑客可以故意跑房子的电还通过基本类似的慢炖锅,没有踏进这所房子。”

设计师作出取舍。工程师们想要保证顾客的安全,保护自己的隐私;营销人员只是想让人们喜欢使用设备。他们的安全性和易用性之间的妥协。他们希望每个制造商的设备能够连接到其他人的同样的理由一环球电视遥控器比三。“用户希望一个程序规则,“标致说。

设备和摄像机特别担心人员,但也有类似的担忧录音devices-especially越来越流行的语音、交互式扬声器亚马逊的呼应和竞争对手等。已经有多个媒体报告“聪明的人”记录私人谈话然后发送这些录音给其他人。(“令人毛骨悚然的智能的喇叭故事”现在主要在留言板Reddit等。)

这样的漏洞可以设计物联网家庭设备?与此同时,消费者能做些什么来避免问题?

香料研究小组提供了一些建议。首先是改变默认密码。许多设备利用从机器人软件像臭名昭著Mirai抓取互联网寻找特定的设备,然后调查这些设备所有者是否改变了默认的密码,机器人的主人。如果不是,黑客迅速拥有该设备。

物联网的房子团队开发和测试一个更高级的系统,使用制造商使用描述规范(发泥)大纲适当的通信通过物联网设备。如果一个物联网设备开始预期范围之外的交流,则系统停止业主沟通和警报。这样,如果一个泰迪熊,应该与一个已知的云服务器与未知服务器通信在东欧、系统保护和所有者。这个系统给制造商的责任来设定预期。

在行业发展新的减少风险的标准,用户应该self-educate:研究物联网设备之前购买或安装。用谷歌搜索一下会有可能出现问题。如果设备没有问题,但该公司的历史没有安全,这也应该是显而易见的。一个例子将是一个公司,使用安全、加密通信,而这并不只有一个。

无论哪种方式,用户应该仔细考虑减轻设备使用。一个家庭应该使用一个玩具相机只有在特定的房间吗?他们应该用透明胶带覆盖相机不使用时?玩具应关闭大部分的时间吗?

最终,真正的改变在制造商的方面不太可能直到消费者开发更高水平的关注设备带进他们的生活。大多数人很难想象自己是网络攻击的目标:“为什么是我”的偏见障碍批判性思维。问题是,谁愿意了解你吗?虽然斯特雷夫,“很多人都说。“公司正在吞噬个人信息甚至不知道如何或将使用。”

本文最初出现在欧特克的红移出版,一个致力于鼓舞人心的设计师、工程师、建造者和制造商。