Google旗下Nest被黑智能产品安全堪忧

发布时间：2020-02-13 16:48:24 阅读：次来源：毛呢厂家

HelloDave. 这句电影《2001太空漫游》中高智能计算机HAL的经典台词，出现在了Google旗下的恒温器Nest的屏幕上。这并不正常。

上周，一组黑客在黑帽子安全大会上，当着几百人的面，演示如何攻破Nest，并让这句台词出现在了Nest的屏幕上。Nest的安全漏洞，或许会让人们放慢脚步，不再继续快速奔向所谓的“物联网”——让所有电器设备连接互联网。黑客演示攻破智能设备的过程是今年的安全大会的重要主题，甚至还有人演示了如何黑智能汽车。

“这就回到了一个主题，即我们在以方便之名使用这些东西时，牺牲了哪些东西?”中佛罗里达大学从事安全研究的学生，也是四名演示如何攻击智能设备的演讲者之一的DanielBuentello如此说道。“这类智能电脑，用户并不能为其安装反病毒软件。更糟糕的是，该设备有一个秘密后门，不怀好意者可以一直待在那里。那该设备就真成了所谓的‘不被人察觉的旁观者’了”

Nest根据用户家里的传感器返回的数据，判断用户是否在家，并在用户在家的时候将室内温度调节到符合用户喜好的温度。如果用户下午不在家，Nest则会将供暖设备或者空调调成节能模式。正是这种贴心的功能，做得实在太好，因此Google在今年年初以32亿美元收购了该公司。

“如果我是坏人，我会将你所有的数据流导向我这边，并嗅探这些数据，看看其中是否包含了信用卡的密码等敏感信息，”Buentello说道。“这很恐怖，因为如果你有一台电脑，你发现它有问题，你会拿去百思买维修。但是，你怎么会想得到你的恒温器也感染了电脑病毒呢?你想不到的。”

演示时，Buentello将一个USB连接到Nest，并将其调整到了开发者模式。完成这一步之后，他们就可以将自己的代码加载到该设备。完成这一步之后，他们就可以让Nest将数据传输给他们，用户并不能察觉。黑客们能够获得该设备的最高权限，并且想干什么就能干什么。

不过，他们并没有演示远程攻击，而且他们需要与该设备发生物理接触才能实现攻击。当然，这也不难做到，比如你可以买一台Nest，然后给其装上恶意代码，再放到eBay上去卖即可。智能恒温器，绝对不仅仅是一台恒温器这么简单，它是用户家庭网络的一个节点，攻破其中一个节点，就意味着其它节点也有可能被攻破。

这是便捷的智能设备时代，也是危机四伏的时代，建筑可以被黑，车可以被黑，恒温器也可以被黑。或许，在发明下一个智能设备之前，我们应该停下我们匆忙奔向物联网时代的脚步，想一想如何提高智能设备的安全性。