貝爾金中槍，智能家居安全？

WeMo的這套貝爾金的智能家居產(chǎn)品主要賣點在于，能讓用戶通過APP遠(yuǎn)程控制照明開關(guān)、網(wǎng)絡(luò)攝像頭、動作感應(yīng)器及其他家電產(chǎn)品，相信有部分對價格不敏感的用戶已經(jīng)試用過了。

可是它并不安全。

據(jù)arstechnica的消息，貝爾金的產(chǎn)品WoMo被攻擊者揭露各種漏洞后，安全研究人員已經(jīng)給出建議讓人們停止使用貝爾金的WeMo家庭智能產(chǎn)品，實際上，黑客已經(jīng)能自由地利用網(wǎng)絡(luò)控制調(diào)溫器和其他設(shè)備了。根據(jù)最近公布的IOActive公司研究院的反饋，攻擊者可以繞過WeMo的密碼及加密匙檢查，并簽署惡意固件偽裝在貝爾金的產(chǎn)品里。

與此同時，WeMo設(shè)備也無法連接到貝爾金安全驗證服務(wù)器上，即便用戶已經(jīng)更新了所有固件。更重要是，固件的更新通知是通過非加密渠道傳送到電腦與手機(jī)上。IOActive研究院的科學(xué)家MikeDavis表示他已經(jīng)可以把上面的這些缺陷組合成RSS讓貝爾金的用戶更新，從而暗中傳染惡意軟件。

除此以外，惡意軟件可以不受root的權(quán)限訪問WoMo設(shè)備，攻擊者可以實現(xiàn)利用單一設(shè)備的缺陷改變所有連接設(shè)備的狀態(tài)。在一段網(wǎng)絡(luò)視頻里，我們可以看到黑客可以通過代碼反復(fù)開關(guān)臺燈，這些漏洞使得黑客可以隨意篡改家庭安全系統(tǒng)中的運動傳感器。

該研究者孩提到，貝爾金由于誤用了GPG非對稱加密功能，使得它自動分發(fā)WeMo映像內(nèi)的固件簽名密匙，攻擊者可以輕松利用這點實現(xiàn)簽署固件映像的動作。

其實這也不是第一次了，早在13年10月，貝爾金的兒童監(jiān)視器便被黑客入侵成為了竊聽器，而病毒一旦入侵iPhone設(shè)備，甚至可以讓所有的智能設(shè)備通過相同的機(jī)制感染。

智能系統(tǒng)是一把雙刃劍，被編程的產(chǎn)品能實現(xiàn)效率與易用性的飛躍，但同時也造成了系統(tǒng)被侵入的風(fēng)險，而總所周知的是，世界上不存在供不破的系統(tǒng)，因此對于使用者而言，需要在生活便利及個人隱私之間做一點權(quán)衡。