據統計,全世界智慧電錶安裝量已經超過1億部。但安全專家指出,這些智慧電錶並不安全。安全公司Vaultra的聯合創始人Netrael Rubin指出,目前智慧電錶普遍缺乏安全性,駭客可以通過惡意程式碼切斷家用電源,甚至會通過超載導致發生爆炸或者引發火災。
Netrael Rubin指出,“我們需要對其進行改造,否則別人就會這樣做。”
在德國漢堡舉行的第33屆Chaos Communications Congress上,Netrael Rubin稱,如果一個駭客控制了你的智慧電錶,他就能夠瞭解到“你什麼時候用了多少電量。他可以瞭解家庭內是否有昂貴的電子產品。他可以進行關於電量使用的消費欺詐,他可以掌控你所有家用電器的電源。想像你醒來後,發現自己被一個並沒有闖進家門的賊打劫了。”
“即便你沒有智慧設備連接智慧電錶,依舊存在安全風險。駭客還能夠控制電錶軟體,使得儀錶超載爆炸。”
Netrael Rubin指出,很多安全警告並不是假設。2009年,波多黎各大量智慧電錶被駭客攻擊,導致大規模的計費錯誤。而在2015年,加拿大安大略省一處房子因為智慧電錶發生故障而引發火災。
智慧電錶不安全的根源在於其所使用的協議過時,安裝粗獷以及設計薄弱。Netrael Rubin表示,雖然智慧電錶物理安全性很強,但是很多產品使用的無線協定有問題。
為了與公司進行通信,很多智慧電錶使用了GSM等2G通信協定,這種協定具有眾所周知的缺陷,譬如攻擊者完全可以通過偽基站來實現與設備相連。在GSM通信協定中,設備需要接受基站的安全驗證,但基站並不需要設備驗證,因此駭客可以通過偽偽基站將自己的命令發送至設備。更為糟糕的是,同一個公司的智慧電錶往往會使用相同的硬體編碼。Netrael Rubin指出,“如果攻擊者獲得了對一個智慧電錶的訪問權,其也就可以訪問相同公司的其他設備。”
而在家庭內部,同樣由於過時的通信協議以及安裝不到位而導致安全缺陷。目前,所有的智慧電錶都通過ZigBee通信協定與家庭智慧設備進行通信。該協議問世於2003年,是一個主流的家用自動化通信協議,可以控制從電燈到空調等各種設備。但是,這種協議有多達15個標準,每個設備供應商可以根據自己的選擇而採用。
Netrael Rubin稱,設備供應商通常會根據自己的情況選擇標準,也會忽略安全問題。譬如其採用的加密秘鑰都是從短設備名稱派生而成,而設備名稱僅僅包含6個字元。而管理密碼很簡單,往往有一定的規律性,很容易猜出密碼。更重要的是,為了降低功耗,很多產品軟體會跳過安全檢查。
Netrael Rubin警告稱,“我們能夠看到駭客攻擊會急劇增加。但大多數公用事業組織並不會監控自己的網路。”
智慧電錶為我們帶來了更多益處,讓電力公司能夠更有效地管理能源。歐盟的目標是到2020年將80%的電錶更換為智慧電錶。
英國政府商業能源和工業戰略部門的發言人說:“我們會在端到端智慧計量系統中實施穩健安全控制,所有設備都必須由專家安全性群組織進行獨立評估。”