智能锁很方便 但黑客可能会轻松打开门
智能家居产品和自动化的设备都是为了实现简单生活。 通过家中连接的各种电子产品,无需担心家务,例如在睡觉前关掉所有灯或外出时确保车库门关闭。 通过声音来控制所有智能家居,是一种快速解放双手,充满未来感的生活方式。 但是,风险犹在,特别是智能锁。
一位名叫Brad “RenderMan” Haines的安全研究员(也就是黑客)表示有一个关于智能锁和语音解锁的技术漏洞。 通过音频传感器和配合IFTTT技术使用的Z-Wave智能锁,能方便入侵者使用语音命令从外部解锁家中的大门。 这种情况只有在没有配置好智能锁时才会发生,但它的工作原理说明了对于没有采取基本措施来保障家庭安全的消费者来说,这是潜在的安全漏洞。
这个黑客还尝试入侵了三个名牌智能锁:August Smart Lock Pro、Kwikset Obsidian和Yale Assure SL触摸屏Deadbolt。
智能锁是如何工作的
用于解锁大多数智能锁的语音命令都要求口头输入PIN码。而使用短程无线通信标准的Z-Wave锁是一个例外。 Z-Wave为智能家居设备提供了连接到互联网集线器的技术,是少数几种无线技术之一,就像我们在测试中使用的SmartThings集线器一样。
除了Z-Wave兼容性之外,还需要一个IFTTT帐户。这是一个在线平台,为具有连接的智能设备创建自定义命令和场景。要设置IFTTT命令,您需要将智能锁连接到家庭的Z-Wave集线器,然后通过IFTTT登录到您的集线器帐户。这将连接两个服务并解锁所有自动化选项。
IFTTT技术并非无一是处。当某个用户锁门或解锁时,您可以使用这些自动连接执行诸如在电子表格中发送通知或记录操作等操作。您可以在回家时添加灯和智能电器,或者在您锁门离开时关闭电源。
这是件小事吗?
每次解锁门时,不必用PIN码回答提出的问题,会让您觉得很方便,但这并不安全。 它为那些通过发出响亮而清晰的命令控制智能扬声器的人提供了打开你的家门的方便途径。 这也可以通过屋外的音频传感器完成。
简单地说,音频传感器采集声音并将其转换为电能或声能。 传感器利用其振动将谐振表面如屋子的木门或玻璃窗变成扬声器,将声音投射到家中。 将传感器靠在窗户上,播放录音,上面写着开锁命令,然后就能开门进去了。
入侵者还需要知道你在SmartThings平台上是如何命名智能锁的。这可能听起来很难猜,但大多数人都会给锁起一些方便而明显的名字,如“前门”或“门”。
还有其他入侵可能吗?
未经授权进入您家是一个主要风险问题,但这不是使用此漏洞的唯一方式。 有的人使用传感器也可以模仿扬声器执行智能家居命令,例如打开灯或打开智能灯罩。在语音购买方面,也存在问题。 虽然Google智能助理需要语音识别或语音代码才能完成购买,但Alexa允许您停用语音代码。任何听过您声音的人都可以购买。 如果发生错误购买,您将收到电子邮件收据,并能退货。 尽管如此,通过智能扬声器解锁和购买产品的安全性仍由用户自己负责。
August,Kwikset,耶鲁,SmartThings和IFTTT这些公司都做出了回应,不承认消费者可以选择绕过PIN,而且表示消费者本身要考虑存在的危险并作好相应措施。