我问答网说真的,前几天邻居老张半夜给我打电话,声音都在抖——他家里那个智能门锁,居然自己开了!大半夜的,客厅灯一亮,锁“咔哒”一声弹开,屏幕上还滚动着一行字:“您已解锁,欢迎回家。”他光着脚冲过去一看,门口空无一人。后来查了监控,发现是摄像头先断网了十分钟,锁才开的。
这事儿吧,搁谁谁不慌?物联网安全问题,真不是段子。那些觉得“我家又没矿,谁稀罕攻击”的人,大概不知道现在黑市上,一包“智能家居0day漏洞”打包才卖几十块。
你买的可能不是智能,是“肉鸡”
先泼盆冷水:很多打着“智能”旗号的小家电,安全防护约等于零。我拆过一款不到百元的WiFi插座,连固件更新接口都没做,默认密码是 admin/admin,后台日志明晃晃写着设备Mac地址和家里WiFi密码。这玩意儿一旦被人拿下,就成了僵尸网络里的一个节点——你家电费飙升事小,它拿你当跳板攻击别人事大。见过Mirai病毒吗?当年就是靠几十万个摄像头、路由器组成的肉鸡大军,把美国东海岸网络搞瘫了。你兴冲冲买回来、对着App喊“开灯”的那个小玩意,可能正在替黑客打工。❗
不过话说回来,大厂货就安全吗?也不一定。去年某知名智能门锁被曝出,只要拆掉外面板,两根铁丝短路某个触点,锁芯电机就能直接驱动开门——物理漏洞,云端加密再牛逼也白搭。说实话,有些产品经理根本不懂安全,功能列表写得花里胡哨,底层协议栈却用着十年前的开源库,漏洞扫描器一跑红彤彤一片。
工业物联网:一旦出事,就不是丢个快递这么简单
家用设备翻车,顶多闹心;可工业物联网要是被黑,那是要命的。✅ 我去年跟一个做水处理的工程师聊过,他们厂里的PLC控制器,老型号没有身份验证,只要连进内网,任何人都能下发“关阀”指令。而这家厂,内网和办公网竟然是通的——前台小妹的电脑中个钓鱼邮件,黑客就能一路摸到净水池。想想吧,如果攻击者篡改氯气投放量,或者直接把阀门关了,下游几十万人用水怎么办?
更魔幻的是医疗物联网。胰岛素泵、心脏起搏器,现在都有联网型号。几年前有个安全研究员现场演示,隔空向一台胰岛素泵发送指令,把注射剂量改了。患者毫无察觉。这种攻击不需要物理接触,一个信号发射器就行。你看,物联网安全在消费端是个隐私问题,到了工业和医疗领域,直接变成人身安全问题。💡
锁好你的数字门窗:几条反直觉的建议
别指望厂商能替你兜底。他们做安全的逻辑是“合规”,而你想的是“不被搞”。这两者之间,差着好几层楼呢。怎么办?
首先,把智能设备单独一个网络。买两个路由器,一个给手机电脑,一个给那堆乱七八糟的智能家居。即便灯泡被黑了,攻击者也跳不到你的电脑上。别用光猫自带的Wi-Fi,那玩意儿分分钟被运营商远程改配置。
其次,关掉所有用不着的功能。语音控制、远程访问、云端存储……每多开一个接口,就多一个被攻击的面。尤其是摄像头,别对着床,别存云端,定时重启。不少摄像头开启即连上一个满是广告的云平台,你的画面可能正在某个地下论坛被围观。
然后,定期主动检测。下载个网络扫描工具(Fing之类),看看家里有哪些设备在线,IP、端口、厂商信息一览无余。如果发现某个智能灯突然开了一个SSH端口,赶紧拔电,那玩意儿八成被人装了后门。另外,更新固件!别因为更新得太烦人而不管。虽然有时更新完反而更卡,但安全补丁是要命的。
最后,物理防御不可少。智能锁再高级,也抵不过一个阻门器。重要设备要有物理开关。我家里那个摄像头,底座上有个小孔,捅一下就彻底断电,联网?先过我这关。黑客再能,总不能顺着网线来捅你物理按钮吧?——呃,除非他用了无人机。但那就是另一个故事了。
唉,说了这么多,其实就是把安全的责任揽回自己身上。物联网这玩意儿,爽是真爽,远程开空调、查看冰箱库存,可背后的风险就像藏在壁纸下的霉菌,看不见,但一直在长。哪天墙皮掉了,你才知道有多严重。