目前，圍繞著(zhù)所謂物聯(lián)網(wǎng)的一個(gè)值得注意的問(wèn)題就是，白帽黑客們已經(jīng)有法子攻破聯(lián)網(wǎng)的電燈泡，只要能接近你的LED設備，你的WI-Fi密碼就不再安全。

 

LIFX公司生產(chǎn)的智能電燈泡，可以通過(guò)安卓和IOS系統自動(dòng)實(shí)現開(kāi)關(guān)。而上述的黑客攻擊就是針對這款電燈泡。Ars的高級評論編輯李﹒哈欽森評價(jià)了飛利浦公司的Hue系列燈泡，同樣是一款可與LIFX燈泡相媲美的可程序控制的LED燈泡。這些燈泡都是目前的發(fā)展趨勢，生產(chǎn)者賦予了這些產(chǎn)品可編程聯(lián)網(wǎng)的能力，這樣人們就可以通過(guò)智能手機，電腦和其它聯(lián)網(wǎng)設備來(lái)遠程控制這些燈泡。2012年Kickstarter眾籌網(wǎng)站的一次活動(dòng)為L(cháng)IFX籌資多達130多萬(wàn)美元，是預期目標的13倍。

 

本周的一篇博客帖子聲稱(chēng)，當得知研究人員發(fā)現黑客可以在30米內獲得保護Wi-Fi網(wǎng)絡(luò )的密碼，LIFX公司已經(jīng)及時(shí)更新了可以控制燈泡的固件設備。聯(lián)網(wǎng)燈泡的證書(shū)都是由6LoWPAN技術(shù)支持的網(wǎng)狀網(wǎng)絡(luò )提供的，6LoWPAN標準是基于IEEE802.15.4實(shí)現的無(wú)線(xiàn)通信。這些燈泡都是根據美國高級加密標準(AES)來(lái)進(jìn)行加密的，潛在的預享鑰匙沒(méi)有改變，因此黑客很容易攻破。

 

來(lái)自安全顧問(wèn)Context的研究人員認為，“只要具備編碼算法、鑰匙、初始化向量的知識，再加上了解網(wǎng)狀網(wǎng)絡(luò )協(xié)議，我們就可以把數據包植入網(wǎng)狀網(wǎng)絡(luò )，獲得Wi-Fi細節，從而破解證書(shū)，不需要任何身份驗證也不留任何破綻。”這篇帖子認為，依靠隱身來(lái)阻止黑客的攻擊是毫無(wú)用處的。然而通常被稱(chēng)作隱身安全的方法，還是鞏固了當今的物聯(lián)網(wǎng)絡(luò )的。LIFX公司1.1版本的固件因為無(wú)法下載，所以黑客無(wú)法進(jìn)行逆向復制，也就無(wú)法破解加密證書(shū)。Context的工程師找到了解決這個(gè)難題的方案。他們改變了植入在每個(gè)燈泡的微調節器，并把調試硬件接入不同的JTAG接口，以此來(lái)監測一旦燈泡添加或移除到一個(gè)網(wǎng)絡(luò )時(shí)所發(fā)出的信號。這個(gè)過(guò)程費時(shí)費力，但研究人員認為“只有這樣我們可輕松地排除來(lái)自每個(gè)芯片的閃存，從而展開(kāi)硬件的逆向復制過(guò)程。”

 

值得慶幸，LIFX公司積極回應了Context這項新發(fā)現?，F在1.3版本的固件已使用Wi-Fi證書(shū)的加密鑰匙給所有6LoWPAN通信進(jìn)行加密，同樣新燈泡連接網(wǎng)絡(luò )時(shí)都會(huì )進(jìn)行安全檢測?？紤]到170萬(wàn)美元的籌措資金，我們很遺憾在燈泡正式進(jìn)入大眾市場(chǎng)之前，燈泡公司自己并沒(méi)有及時(shí)發(fā)現這個(gè)隱性缺點(diǎn)。許多人認為任何類(lèi)型的軟件更新都比較麻煩，并且固件升級也是比較困難并存在風(fēng)險的。

 

市場(chǎng)銷(xiāo)售人員讓人們認為如果他們還沒(méi)讓自己的冰箱、恒溫器和其它傳統家居用品聯(lián)網(wǎng)，他們就太落伍了。然而很多事實(shí)也表明這些設備會(huì )導致網(wǎng)絡(luò )和私人信息的安全問(wèn)題，這些在不聯(lián)網(wǎng)的迭代編程中是不會(huì )出現的。微軟、蘋(píng)果公司和谷歌都投入大量資源來(lái)維護其產(chǎn)品和服務(wù)的安全。希望在物聯(lián)網(wǎng)時(shí)代謀求一席之地的生產(chǎn)者都會(huì )積極把一部分精力用來(lái)保護他們設備的安全。

 

物聯(lián)網(wǎng)概念雖然好，但是如果被不法分子利用就不好了，這對技術(shù)人員就有了更高的要求，怎么設計的更嚴謹是很重要的。