【明報專訊】7月初,有一家智能家居設備供應商的資料庫,在互聯網被公開了。當中資料來自不同國家地區,例如中國、日本、泰國、美國、英國、墨西哥、法國、澳洲及巴西等。被公開的內容為數有約20億個,涉及用戶名稱、密碼、連網裝置、電郵地址及定位坐標地點等敏感資料。這些資料看似平常,但黑客可以利用這些資料追蹤用戶位置、竄改用戶密碼及變更設備設定,有可能引致災難。
日漸成趨勢 引伸問題增加
不得不承認智能家居是近年的新趨勢,而現時有很多智能家居系統的設計,會以數個家中不同的設備,以及一個雲端控制平台所組成。在設備方面,包括人體感應器、門窗感應器、智能電源插座、無線開關電掣、窗簾升降開合、可調節光暗電燈、冷氣調控、操控門鎖等,包羅萬有。為方便操控,這些設備都可能內置不同的無線網絡技術作為通訊之用,令這些設備可以透過網絡上載數據及接收操作指令。而大部分的廠家都會把這些數據,存放在雲端平台上,並且透過這個平台,讓用戶可以自行查詢各設備的當前狀態及所發出指令,亦因為這個功能,用戶只需要透過瀏覽器或手機應用程式,便可進行遠端操作。
雖然這種設計令用戶的操作更加方便,但其實智能家居系統自發展初期開始,便不斷地出現來自各大小廠家的問題。出現過的事故,大部分是發生在設備的設計上、沒有加密網絡通訊及服務平台上,更引證了著名的梅菲定律:「任何可能出錯的事都一定會出錯」(Anything that can go wrong will go wrong)。例如早在2003年時,有一牌子的智能電燈泡,黑客可攻擊該燈泡導致持續停電。
近年亦有無數分佈在世界各地的IP Cam被入侵,私隱被侵犯。也有雲端平台因認證欠佳,黑客可以輕易冒認用戶身分,控制整個系統。
問題多多,但廠家並沒有汲取歷史教訓,以這次事故為例,出現保安問題的地方便是供應商的雲端平台,未能做足保安準備措施,引致漏洞可被利用。而發現安全漏洞的人員,在公開漏洞資料前已經通知了廠商,但在預設的期限前,廠商並沒有作任何回覆、跟進及採取補救措施,所以把漏洞資料公開。
沒即時補救 用戶小心選擇
智能家居日漸普及,為用戶帶來了便利。可是現時廠商只專注於功能發展,而忽略了網絡安全及私隱保護。所以用家在選擇產品及系統時,要向廠商多了解一下他們如何保障客戶,減低客戶被黑客入侵的風險。
文:楊和生(香港互聯網協會網絡保安及私隱小組召集人)
