一说到“查水表”,混迹网络社区已久的老司机们一定心领神会。不过今天,“查水表”这个词儿可能会又多一层含义,那就是,用水表把你的隐私信息查个底儿掉。
这层含义缘起于美国著名的赌城——拉斯维加斯,美国时间8月11日,360无线电安全研究院的安全专家展示了一种新的攻击方式,通过劫持水表数据传输,完成对住户的隐私习惯分析,甚至下发恶意指令。同时,他们也针对该攻击方式,给出了相应的防护措施。
说到拉斯维加斯,很多人第一时间想到的估计都是纸醉金迷和赌城风云,但每到盛夏来临,这里就摇身一变成了全球黑客与极客们的“圣地”,因为被称为“黑客秘密大派对”的Defcon大会在这里开幕。
从西装革履的顶级互联网企业安全专家,到头发蓬乱、衣服邋遢但一出手就震惊业界的黑客大神,成千上万的技术大佬与安全爱好者们汇聚于此,一同探索网络安全与技术的极致境界。
既然是世界级的安全盛会,怎能少得了中国团队的身影。360作为国内最大的互联网安全公司,在今年的BlackHat和Defcon大会上,携7大议题出席,成为入选议题最多的国内企业。此外,他们还在现场设立展台,上演IOT破解大戏,展示中国团队领先的安全攻防技术。
如何入侵苹果、微软、谷歌等各大公司系统与浏览器,或者是如何控制千里之外的汽车,甚至现场教你控制无人机潜入白宫,这些有点匪夷所思的事情都曾在往届大会上出现过,技术大神的手段也简直开挂到让人怀疑人生。
而今年360团队入选的议题,相比以往,则似乎更加关注“物联网”的应用与安全,比如WIFI攻击、芯片漏洞、智能合约、智能水表等等,覆盖了现代生活家居的方方面面,不仅走在了互联网“万物互联”的风口上,又很好的与普通用户的生活联系在了一起。
就拿360独角兽安全团队的Lora智能水表议题来说,简直是有根网线就能“查水表”的节奏!大会现场,团队代表展示了如同“外挂”般的技术:通过伪造网关节点,嗅探无线中的射频信号,竟直接获取了智能水表的全部数据,甚至连水表附近用户的数据也能一并获取!不仅如此,这些数据还可以通过技术手段被人为伪造和篡改。
有人说,获取个水表数据,或者伪造篡改用水数据,无非就是多花点水费的事情,有那么可怕吗?当然有!家里几点有人用水、每次用水量是多少,通过这些详细的水表数据,直接就能分析出住户的生活起居,并推算出职业、性别、偏好等诸多的身份信息。这么一看,可能涉及千家万户Lora智能水表系统,真是细思极恐:随意篡改数据,可能分分钟让你支付天价水费;个人信息泄露还有可能让你深陷精准诈骗等恶性事件……
360无线电安全研究院安全专家曾颖涛表示,该攻击方式的发现,对智能设备厂商起到了警示的作用。为了防御这种攻击,可以采用对所有传输的数据内容进行加密处理,在传输的数据中加入计数值和签名等措施。
随着智能家居、智慧社区以及智慧城市建设的不断推进,水表等智能家居产品会越来越普及,并逐渐成为日常生活中的一部分。360独角兽安全团队此次议题,就是利用技术手段,不断探索着水表等智能家居产品的安全边界,为未来的城市建设排查可能存在的安全隐患,同时也为硬件厂商提供切实有效的安全建议,从数据安全上为即将到来的万物互联时代保驾护航。