未来已来:爱恶作剧的黑客 apparently 可以入侵智能音箱,播放歌曲和 恐怖的声音。安全公司 Trend Micro 在一份新案例研究中 发现的这一漏洞,暴露了用户数据,如与流媒体音乐服务相关联的设备名称和电子邮件地址——这些信息足以进行有针对性的“耳虫”攻击。令人不安的是,研究人员只需要基本的互联网扫描工具即可识别出可攻击的设备。
罪魁祸首:糟糕的家庭网络 安全 习惯。
虽然 Trend Micro 团队发现约有 500 台 Bose SoundTouch 扬声器和高达 5,000 台 Sonos Play:1 和 Sonos One 系统存在被远程劫持的风险,但这种暴露可能远远超出他们所审查的特定设备。
目前,这一漏洞的潜在影响除了有趣的恶作剧之外,几乎没有其他影响,但这项研究应该提醒我们警惕家庭网络安全。“情况变化很快,”Trend Micro 的研究总监 Mark Nunnikhoven 说,“它会突然改变,突然之间就不好玩了。”他继续说道,该报告揭示了在我们家中越来越多地使用智能技术时,我们都应该牢记的重要安全问题。
都快 2018 年了,我们还在提醒自己设备安全的基础知识。拜托,请下定决心做这三件事。
不要忽略固件更新
我们明白,软件更新很烦人。它们会充斥你的通知,并打断你随时随地以最大音量播放“Despacito”的冲动。但是,越来越多的补丁包含了重要的安全更新。“软件确实有错误,需要定期维护,”Nunnikhoven 说,“更新这些东西的小麻烦会产生真正的后续影响。”
在此案例中,Trend Micro 在向公众公布这一漏洞之前,善意地通知了 Sonos 和 Bose 他们的安全漏洞。这个提前通知让扬声器制造商有机会在恶作剧者用“纽约 Rickrollin' Eve”派对混音轰炸朋友之前修补漏洞。Sonos 此后已推出更新,隐藏了用户信息——之前暴露的已连接智能手机的名称和同步流媒体帐户(如 Spotify)。
限制网络通信
这是一个够简单的概念。你连接到 Wi-Fi 网络的设备、硬盘、电脑和狗碗越多,你就越需要关注每个设备的安全性设置和网络访问权限。“你添加的每个设备都是另一个潜在的攻击点,”Nunnikhoven 说。
他继续说,高级用户可能会连接太多东西,导致无法掌控,允许外部设备远程访问网络上的硬盘或服务器。例如,游戏玩家会设置自己的 Minecraft 或其他服务器,并允许其他玩家访问它们。“没有理由允许任何外部事物主动连接到我的家,”Nunnikhoven 说。他解释说,唯一的入站网络流量应该是对加载网站或播放歌曲或视频的直接响应,而这些请求是由网络上的设备发出的——比如笔记本电脑或机顶盒。
大多数路由器开箱即用,都可以阻止任何入站请求。但任何有点常识(你知道,就是那种“不知道自己不知道”的程度)的人都可以深入设置并更改它。
如果你坚决要共享文件,不妨选择像 Dropbox 或 Google Drive 这样免费或低成本的云服务。“你有多大希望能够安全地运行自己的 Dropbox 呢?”Nunnikhoven 开玩笑说。
使用访客网络
得益于 ISP 提供的调制解调器和路由器捆绑套餐,我们整体上的 Wi-Fi 网络卫生状况比过去要好。这些设置已经预设了密码(尽管说实话,我们应该在重置它们方面做得更好)。
不过,Nunnikhoven 建议,我们都应该改掉“随处可见地”给出网络密码的习惯。交出密码会给访客访问网络上的所有设备——灯泡、扬声器、恒温器等等——的权限。
大多数(如果不是全部)新路由器都允许你设置一个二级访客网络。这可以将临时访客隔离开来,让他们能够访问互联网连接,而不会危及你的打印机和智能洗衣机。此外,如果你发现访客网络上有人不该出现,切换到新密码不会让整个连接的家庭陷入混乱。
