基于物联网的智能家居安全问题分析

苏治中

（广州市广播电视大学，广东 广州 510091）

一、智能家居应用系统模型

智慧家庭作为物联网的一个常见的运用场景，通过感知层、网络层和应用层等三个层次构建出一个动态的异构架构。智能家居应用系统典型模型如图1所示，图中可以看出，智能家居包括服务端、控制终端（手机、平板、电脑、专用设备等）、智能终端系统（智能冰箱、扫地机器人、网络摄像头等）和通信网络等。

图1 智能家居应用系统典型模型

二、智能家居风险分析

由模型可看出，智能家居安全风险主要出现在服务端、控制终端、智能终端系统和通信网络等四个方面。

（一）服务端风险

物联网的服务端是整个物联网业务环境的中枢，传感器对数据做收集处理、处理结果反馈给接口用户等基础功能，均由服务端来完成。服务端常见有以下风险：

1.隐私泄露问题

目前行业内智能家居产品，普遍将终端传感器收集的数据上传到云平台，以方便用户的使用和数据的优化管理。这就导致智能家居服务端必然存储和处理着大批量的用户敏感数据，常出现“收集的个人信息过多”“收集的信息没有得到适当的保护”的问题。攻击者往往会乐衷于入侵云服务提供商来访问存储在云端的数据，一旦遭受入侵容易导致信息泄露的安全问题。诸如各类智能摄像头、智能门铃的影像视频遭泄露等新闻频繁出现。

2.不安全的云接口

云平台接口开放给第三方容易引入安全隐患。一方面，用于保护存储在云中的私人数据的加密算法的加密强度弱，存在缺乏双因子身份验证，或者允许用户使用弱密码都会有风险，比如通过密码爆破或者登录认证绕过环节实现远程控制物联网设备或通过恶意修改使用者的身份ID从而达到未授权浏览物联网业务系统中其他使用者的内容。服务器接口开放也意味着可能会造成未授权调用、频繁调用的问题，导致未授权获取服务器中的敏感数据或者批量调用获取敏感数据的风险。

3.传统服务器漏洞

服务器安全属于传统安全领域，系统版本及中间件也存在漏洞，如中间件、操作系统、数据库、Web应用等，这些程序自身配置的漏洞或设计缺陷容易导致命令执行、非授权访问、SQL注入等风险，严重的甚至能够直接接管服务端的控制权，进而获取整个智慧家庭的网络拓扑、节点活动信息与控制权限。

（二）控制终端风险

用户一般通过控制终端中访问中心的应用程序对智能家居进行控制，使得应用程序和智能家居系统之间建立一条使用TLS协议保护的连接链路。通过在控制终端下载智能终端对应的移动应用，控制终端充当了用户与智能终端之间交互的渠道。但手机、平板、电脑等移动终端常常是人们出门必备之物，攻击者通常利用社会工程学的手段，在用户安全意识不强的情况下使得控制终端不安全。控制终端常见有以下风险：

1.恶意软件

用户可能通过连接不安全的WiFi或者在不安全的应用商城下载到物联网设备的应用程序或使用在线服务，都可能被恶意软件感染。尤其是智能手机进行刷机操作后，攻击者仅需要使用调试工具就可能绕过软件认证阶段控制受害者的账户并控制他的智能设备。

2.应用程序自身漏洞

同样应用程序也会有其它APP一样的风险，若没有对安装包做加壳处理或者代码混淆，攻击者可以反编译后加入恶意后门重新打包，再通过应用平台发布出去，除此以外，还有其它诸如：自身权限控制管理不足，造成用户越权漏洞，A用户可以查看B用户的智能设备并进行操作；登录验证强度不足，造成验证码爆破漏洞，A用户的验证码可以被无限制次数进行尝试登录。

（三）智能终端风险

智慧终端系统由传感部件及传感网关组合而成，主要是完成对信息的采集、辨别和管控。终端根据通信方式分成三类，一类是使用低功耗近距离通信（Zigbee，RFID），比如照明开关；一类是通过WiFi连接到局域网，比如扫地机器人；一类是直接连接蜂窝/固定网络暴露在互联网中，比如智能摄像头。一般而言，暴露在互联网中的智能终端，都有被攻击的风险性。具体有以下三个方面安全隐患:

1.固件安全

固件即是写入EROM（可擦写只读存储器）或EEPROM（电可擦可编程只读存储器）的程序。生产固件设备的厂商往往会在设备上留有调试接口，以便研发和售后过程中进行调试，为了进入这些智能终端，不法分子需要先找到这种调试的接口，俗称“后门”。他们通过登录绕过端口探测等技术手段提权，执行植入僵尸程序，达到完整控制该程序的目的。用户在购买到被攻击过的智能终端或者在更新设备时下载到被植入恶意软件的硬件版本，就可能使得智能终端被控制。

2.终端自身安全

个别智能终端难以具备完善的安全防护手段，不法分子的攻击方法也层出不穷，大多数物联网设备因为未能时常保持最新版本状态，或没有对应的更新措施致使智能终端设备存在的软硬件风险极大。不法分子会借用终端风险点投放木马或病毒，致使终端控制被非法获取或使终端变成宕机形态，获取未授权的访问，或者实施大规模DDOS攻击、信息泄露、勒索等。

3.隐私泄露问题

当前国家对物联网终端监管力度而言，终端设备感知行为的合法性无法得到有效保证，可能导致超范围收集用户隐私信息；同时，在智能终端当中也有数据泄露通道，在通信传输数据时如果加密措施没把控到位，往往会被窃取或篡改，同网段或相隔网段的智慧终端设备很大几率捕抓到其它设备的敏感数据信息。

（四）通信网络风险

智慧家庭的通信中枢主要用在将感知层获取的数据在网络层中进行传播和加工。具体有以下三方面隐患：

1.窃听及篡改问题

物联网设备工作时，对手可能会使用各种技术来截取物联网设备之间的通信信息，这就是窃听。[1]部分智能设备的通信网络依赖于射频识别技术，比如利用RFID结合体温感测数据的空调启动服务。不法分子会使用窃听手段分析微型CPU日常运行中所产生的电磁特性，从而取得设备之间的通信内容甚至篡改内容。

2.非授权接入风险

针对WiFi类的硬件产品，家里的路由器成为攻击者首要的攻击对象。攻击者可以利用路由器漏洞如弱密码，绕过认证的方式进入局域网，获取网络内部数据。

3.拒绝服务攻击

对于直接暴露于互联网的智能家居设备，不法分子可能会利用智能终端的接入点发出巨量的数据包，导致网络拥堵瘫痪。

三、防护手段

为了保障智能家居的安全，应该在产品的设计之时便把安全思维贯通其中，从服务端、控制终端、智能终端系统和通信网络等搭建整体化的安全风控体系，保持警觉，才能保证用户的利益不被侵犯。我们应该在设计和开发之初就融入安全的理念，相比后期运行和维护的成本要低得多。

智能家居面临的隐私挑战是巨大的，每天都要收集存储计算大量数据。除了部分技术手段进行身份验证和访问控制来保护用户隐私外，还需要有监管政策来保护。政府部门是处理创建和执行可能影响组织收集和使用私人信息的法律法规的实体。收集到的信息的使用是指根据隐私政策，不同的智能设备将如何使用从不同来源收集的数据，实现最小化收集用户信息。[2]厂商还应在用户初次购买商品时，向用户发送的通知包括涉及收集的信息范围、提供用户同意或者拒绝提供信息的权利等。

（一）服务端防护手段

服务端防护手段主要基于数据分类分级保护制度的原则针对数据库和云平台进行防护。除了利用传统的扫描和渗透测试手段发现其漏洞外，还需要做到以下防护手段：

1.数据库防护手段

数据库存储着海量的数据，管理员应落实数据库访问控制与权限控制和数据库备份及恢复技术。同时，各企业应建立数据分类分级原则，针对每个数据库存储的数据分级，归属敏感级别及以上的数据应着重保护，比如需要加密存储敏感数据的授权访问。此外，还应建立对数据库定期操作日志审计工作，及时发现违规及超范围或未授权操作的行为。

2.云平台防护手段

云平台一般是给客户用作以图形化界面的智能家居终端相关数据展示、统计、计费及远程管理的能力。云平台应做好用户身份验证、访问控制和角色划分，使用有效的权限控制方法与技术限制非授权的访问和控制请求。如果云平台开放了第三方API接口，服务端运维厂商应定期清查对外开放接口，及时清理非必要开放或者已过期开放的接口；对发现出现频繁调用接口的现象，应分析原因后及时遏止。

3.巡检报警手段

智能控制云平台应加设巡检报警功能，通过传感器和信息收集模块实时巡查收集异常数据，及时发现异常情况，一旦出现紧急情况，设备能够发出告警声、告警灯闪，实时拨打110电话报警，并通过智能终端远程告知用户，使用户及时做出应对措施，减少安全事故的影响，用户可按需部署或撤销报警功能，如无人在家模式、分区域报警模式等，实现防盗和防误操作的安全功能，降低人为安全隐患，确保人身与家庭财产安全。

（二）控制终端防护手段

控制终端防护手段主要是基于APP安全与登录验证安全。

1.APP反编译安全

未经加壳处理的控制终端应用很容易做到二次打包的操作，攻击者可以把恶意代码二次打包进终端控制APP，终端应用进行加壳保护处理并混淆核心代码，使用安全证书进行签名认证后再分发到应用商场，加壳保护可以很大程度上防止被植入恶意代码，使用安全证书签名可以加密与服务端或智能终端的数据包，防止中间人攻击。

2.AppActivity组件安全

Activity如果设置不当，病毒软件会模仿控制终端的指定支付或登录界面进行复制覆盖，骗取用户信任，使其在假冒界面输入敏感信息，最终造成钓鱼劫持危害。这种攻击手段，经常出现在控制终端的登录或支付环境，欺骗用户输入账号、密码、支付密码等，达到窃取敏感信息的目的。加设防护时应通过获取栈Activity，判断当前运行的是否本控制终端，一旦发现应用被切换，提示终端客户注意防范钓鱼界面环境的欺骗。

3.控制终端登录验证

应使用多因素验证手段，如账号+口令+短信验证码+图像验证码或滑块进行用户身份验证，强制用户使用复杂度强的口令，若涉及重要操作时，应加上人脸识别和指纹识别（如开保险柜和开门锁），防止控制终端被利用漏洞入侵，进而盗取财产。

（三）智能终端防护手段

智能终端包括扫地机器人，网络摄像头，智能冰箱等，运用的通信技术及传感器各异，结合其面临的安全问题，我们可以从硬件和通信方面采取安全防护措施。

首先，增强智能终端的认证和鉴权机制，采用多因素认证方式，提高密钥安全级别，同时对用户名等重要信息的传输进行加密；[3]认证能够保证每个数据包源头的不可否认性和真实性，防止伪造，拒绝为来自伪造节点的信息服务，防御对智能终端的拒绝服务攻击。其次，增强权限控制策略，互联网设备在使用时，生产商应增强对设备使用者的权限控制，使用有效的权限控制方法与技术限制非授权的访问和控制请求。最后，开发商需要做到安全升级的过程，升级前做好运行测试，在向设备传输补丁前，先使用加密签名进行验证。外加全智能下载升级系统版本：利用预设下载插件的方式对使用者的固件进行升级，很大程度遏止出现漏洞时使用者没有及时升级造成危害的情况出现。[4]

（四）通信网络防护手段

通信网络防护手段主要是基于传输安全和防范拒绝服务。

传输过程中应使用可信的加密传输协议，如Https、Ssh、Vsftp等，避免明文传输数据，以防被窃听和篡改通信数据。

建立接入白名单机制，绑定合法智能终端的MAC地址与合法IP地址，防止非法的程序在用户不知情状态下接入网络与进行DDOS攻击造成的网络瘫痪。

四、结束语

万物互联，安全先行。在智能家居产业大潮澎湃之际，智能家居的安全问题必须同步发展。人们在从智能家居中受益的同时，必须最大限度地降低当前和未来智能家居可能造成的安全风险。本文对智能家居的现状及风险做出分析，提出在设计和发展之初就应融入安全的观点和如何解决智能家居带来的隐私问题。只有兼顾功能与安全性，才会有可靠保障的服务与创新。