4月8日，我們的生活已經被各種智能設備所包圍。無論是亞馬遜的藍牙音箱Amazon Echo，三星的智能電視，智能管家Wink Relay，還是內置于你iPhone上的Siri語言助手，你只需輕輕發送一條語言指令，它們就能按你的想法去工作。

但是如果我們現在告訴你，你的設備并不安全，遠在地球另一邊的某個神秘人正在竊聽你的生活，你或做何感想呢?

       亞馬遜藍牙音箱Amazon Echo

這件事乍聽之下，或許會讓你以為這是什么狗血的好萊塢大片。但事實上，它就發生在我們的身邊。根據國外企業安全供應商Veracode在周二時發布的一份報告顯示，許多“物聯網”設備缺少最基礎的安全保護，它們可以被黑客遠程操控，甚至被用來竊聽你在臥室里的談話。

去年十二月份的時候，Veracode的研究員購買、測試、逆向入侵了六個常見的物聯網設備：智能管家SmartThings Hub、Wink Hub、Wink Relay，智能車庫控制器Chamberlain’s MyQ Garage controller，Internet Gateway和語音控制器Ubi。

他們的測試結果如下：據報告顯示，通過竊取Ubi上的數據，歹徒可以知道你什么時候不在家。Chamberlain設備內的安全漏洞則可以讓小偷知道你的車庫大門是開是關，并且他們還可以對Garage controller進行遠程操控。Wink Relay和Ubi上的安全隱患可以讓網絡罪犯“打開麥克風，在設備的監聽范圍內竊聽你的談話，從而引發勒索敲詐或是商業機密的泄漏。”

唯一幸免設備是SmartThings Hub智能管家，除了被黑客黑入到它調試界面這個缺點之外，它在其它方面都表現良好。

無論你用的是什么

這份報告也在去年測試了其他幾款物聯網設備，并且指出了它們存在的安全漏洞。但是那些缺陷目前還并未對大部分用戶造成什么實質的影響。

最重要的是， 那些被Veracode測試過的智能管家，它們的市場還不是很大。事實上，除了三星的SmartThing，你很少能在家庭中看到其它智能管家設備。這份報告也沒涉及那些，你可能之前聽過的設備，像恒溫器Nest，遠程監控攝像頭Dropcam和智能遠程電源控制器WeMo。

Veracode的安全工程師Brandon Creighton表示，我們已經有充分證據顯示，一些能操控監控攝像頭的設備，它們的防御體系是很脆弱的。

“我們想要看看這些新興技術的安全性，揭露那些人們沒有從未想過的安全隱患。”他說道。

       圖為Wink Relay智能家居控制器

另一個值得人們警醒的問題是，對于大多數成功入侵的行為來說，黑客需要先進入受害人的家庭網絡。坦白說，如果他們真得侵入了你的網絡，你的麻煩就大了，他們可以查看你的個人消費記錄或是網銀的賬號密碼。

報告中詳述的其它潛在危險，來自設備制造商的官方網站。當你在申請購買設備時，你所提交的個人信息會被網站自動記錄下來。但Veracode在此次的調查測試中，并沒有嘗試黑入任何上述設備的官網，來收集客戶的個人信息。

Creighton繼續說道，許多安全漏洞往往出現在那些配置了點對點加密技術，或是需要加強密碼強度的設備上。

小心

再來看看Ubi和Wink relays，這兩款設備都是基于Android系統的，Veracode通過一個標準安卓設備調試工具(在產品下線前來測試用的)，成功黑入了它們的語音系統。

       圖為語音控制器Ubi

UCIC(Unified Computer Intelligence Corporation)的CEO，開發了基于安卓系統的Ubi語音控制器的Leor Grebler表示，公司方面已經不再將Ubi定位為一個大眾電子消費產品了，但是它作為一個語音工具，仍將幫助開發者們實現他們產品的語音交互功能。

“我們在幾個月前做了這個決定，開放Ubi的一些權限，讓開發者們來在Ubi的基礎上去創造，”Grebler說道。“在我們的官方論壇上，有如何進入控制設置系統的說明。通過這個方法，即便你是個網絡小白，也可以侵入到我們的網絡來錄音，但是為了避免壞事發生，你必須先同意一些協議。對我們開發的安卓設備來說，這點是有點冒風險的。”

Wink的首席安全官Brian Knopf承認，所有的物聯網產品制造商需要在安全和個人隱私保護方面做得更好，并且呼吁全行業來為物聯網產品制定一個等級體系。他透露Wink公司方面近期已經開展了一個有獎找bug的活動。

“這份調查報告指出，如果物聯網產品想變得更普遍的話，必須首先解決它在安全和個人隱私保護方面的問題，”Knopf說道。(止水)