新闻?#34892;?/strong>
                  免费咨询热线
                  020-85167070
                  您现在的位置:首页 >> 新闻资讯 >> 行业新闻 >> 智能家居的 “撞库” 风险

                  智能家居的 “撞库” 风险

                  作者:51CTO来源:昂楷科技 日期:2019年4月26日 13:47

                  随着技术进步和联网电子设备价格的下降,拥有联网智能家居的成本也越来?#38477;汀?#23433;置在房间各处和集成到家电中的传感器,可为屋主提供远程监视和管理家居功能的便利。

                  Rehman & Manickam 发表于2016年的论文指出,智能家居包含三个部分:室内、室外和门户。室内环境由物理联网设备组成,比如智能门锁、视频门铃、智能家电、WiFi恒温器等。室外环境保障接入智能服务提供商以进行远程访?#35270;?#31649;理,而门户设备则充当室内与室外环境的桥梁。基于上面描述的几种角色,在评估智能家居固有风险的时候,这三种组件都必须纳入考虑。

                  智能家居如今面临的风险

                  当今世界,智能家居面临六大主要安全风险:窃听、重放攻击、消息通知、拒绝服务、恶意代码,以及假冒攻击。我们?#29615;?#30475;看各种攻击的运行机制:

                  1. 窃听

                  就是攻击者未经用户授权即监视室内和室外环境的互联网流量。监听期间流经该网络的数据就会落入攻击者囊中。这类攻击破坏的是智能家居环境的机密性。

                  2. 重放攻击

                  指的是攻击者捕获智能家居设备执行的动作,然后重放该动作以得到相同的结果。重放攻击执行方式多样,比如窃听、捕获某动作的网络流量再重新发送该网络流量给设备。如果智能家居拥有语音助手,捕获已授权用户的命令语音再重放给智能音箱,大多数情况下都能绕过声纹鉴定。

                  3. 消息通知

                  是攻击者捕获流量,然后修改消息中的?#38382;?#21644;数据,恶意篡改既定动作。

                  4. 拒绝服务

                  攻击可使智能家居设备宕机。某些智能家居安全设备在断电或连不上互联网服务时会?#36828;?#22788;于开放状态。如果你的智能门锁突然断开与智能家居提供商的连接,而作为安全措施门锁?#36828;?#35299;锁的时候,就可能会引发一些问题。因消防安全规定要求,带故障?#36828;?#25171;开功能的商业智能门锁越来越常见。另外,智能家居互联网连接拒绝服务有可能造成很多设备的安全功能都无法运行。比如说,屋主使用视频摄像头?#20302;?#22312;云端存储录像,如果没有互联网连接,摄像头就无法存储录下的视频,入?#32456;?#21482;需引发互联网连?#25317;?#32447;就能从安防录像中完全消失。

                  5. 恶意代码

                  利用智能设备固件和软件中的漏洞,是选择恰当智能家居技术时应该考虑的一种威胁。如果智能设备的固件不经常更新和修复,攻击者就能利用已经存在的漏洞和公开的漏洞利用程序获取该设备的访问权。由于大多数智能家居设备?#23478;?#27714;互联网连接,越来越多的提供商要求开启?#36828;?#26356;新以防?#32929;?#22791;在未更新的情况下被使用。智能家居设备的?#20013;?#23433;全更新由制造该设备的公司提供。

                  6. 假冒攻击

                  是指未授权攻击者被当成合法用户加以授权攫取利益。2018年,两名安全研究人员采用运营关键威胁、资产、及漏洞评估框架(OCTAVE)识别智能家居的网络安全风险。他们的分析中,智能家居面临的最高风险,就是因攻击者拥有作为合法用户的所有控制而对智能家居?#20302;?#36827;行的未授权访问。

                  然而,除此之外,还有一种攻击是我们上面还未讨论到的。在数据泄露越来越频繁发生,之前的数据泄露聚集的数据在互联网上大肆传播的今天,智能家居未授权访问的最大威胁可能是凭证填充攻击,大批量针对数据库的凭证填充攻击又俗称撞库,指重用被黑凭证以获取对账户和服务的未授权访问。由于其执行?#35759;?#20302;,成功率高,且泄露数据广泛可用,凭证填充攻击正成为智能家居安全及隐私方面的重要问题。

                  凭证填充风险已成为公司企业的负担,因为他们试?#20960;?#19978;并保护其用户,抵御旧口令及其变体的重用。Braue今年援引多个来源以证明凭证填充是一个?#29616;?#30340;威胁。作为回应,安全行业正提升其对口令重用攻击的响应。比如说,Nest发现近期数据泄露中含有客户的口令?#20445;?#20415;锁定用户账户直到其口令有所修改才解锁账户;这一做法便受到了安全社区的广泛赞誉。

                  保护智能家居免受数字威胁

                  智能家居用户应选择能够提供技术性安全控制以防止授权攻击的技术,比如双因子身份验证。越来越多的供应商都将双因子身份验证作为一项保护账户的可选安全功能,但并未默认启用。使用双因子身份验证可使智能家居服务大幅降低未授权访问的风险。任何情况下?#21152;?#21551;用双因子身份验证。

                  选择成熟且信誉良好的公司所生产的智能家居技术也很重要。成熟厂家不仅会更好地支持你的智能家居设备,也更有可能提供软件更新,增强你设备的安全性,并更好地防止未授权访问。这些资金充裕的公司更不容易被黑,也安排有员工为用户提供保障。选用?#20248;?#26234;能家居产品简?#26412;?#26159;在邀请灾难入住。为了省几块钱而牺牲自家的隐私和安全不是大多数人愿意承受的。

                  管理性安全控制可用于修改智能家居用户使用凭证的过程。一些简单的策?#35029;?#27604;如从不重用同一个口令,在其他安全的地方存储口令等,也可以降?#25512;?#35777;填充的风险。为每一个服务都设置一个独特的口令很耗时间也难以?#19988;洌?#25152;以,采用口令管理器就是一个不错的策略。用于智能家居的所有口令?#21152;?#36229;过这些服务的最低复杂度要求。保护智能家居用户免受凭证填充危害的终极方式就是采用名为 “Password Checkup” 的谷歌Chrome扩展。这一最近发布的工具会在检测到有人采用已泄露的用户名和口令对时发出警报。

                  智能家居用户面临的最大风险是智能家居?#20302;?#26410;授权访问。综合采用口令管理器之类技术性安全控制,启用双因子身份验证和谷歌 Password Checkup 工具,再结合管理性安全控制,可以大幅降低拥有智能家居的风险。治理口令使用以保证凭证不被重?#20204;?#31526;?#32454;?#26434;度要求的管理性控制,使终端用户能够更好地保护自身,?#20063;?#20165;仅是智能家居服务可用,其他所?#34892;?#35201;身份验证的服务都可用。

                  最后,选用?#31185;?#30340;智能家居提供商能够支持、处理和看顾你的信息,提供?#20013;?#30340;产品更新。随着越来越多的用户开始发现?#36828;?#21270;家居设备的价?#25285;?#26234;能家居行业逐渐呈?#20013;?#27427;向荣的状态。智能家居数据分析的进步发展正在减少家居持有的成本,令用户能够最大化取暖和降温等可变成本的结余。

                  所属类别: 行业新闻

                  该资讯的关键词为:

                  此处为可编辑区
                  河南福彩快三开奖结果