智能家居產品和家庭自動化的目標是讓您的生活更簡單。通過家中的連接產品,您無需擔心平常的任務,例如在睡覺前關掉所有燈或在外面冒險,以確保您記得關閉車庫門。通過您的聲音來控制所有智能家居的漂亮自動化,快速,免提,仍然充滿未來感。但是,這有風險,尤其是智能鎖。
在美國一位名叫Brad“RenderMan”的安全研究員Haines聯繫了CNET,其中有一個關於智能鎖和語音解鎖的簡單漏洞。通過音頻傳感器和IFTTT配方設計與Z-Wave智能鎖配合使用,入侵者可以使用語音命令從外部解鎖您的門。這個技巧只有在您首先配置智能鎖的工作做得不好時才有效,但它的工作原理說明了那些沒有采取一些基本步驟來保障家園安全的消費者的潛在漏洞。
我在CNET智能家居的這個智能鎖漏洞試了三個著名的智能鎖:August Smart Lock Pro,Kwikset Obsidian和耶魯的Assure SL觸摸屏Deadbolt。這是怎麼回事。
智能鎖定如何工作
用於解鎖智能鎖的大多數語音命令都要求您口頭輸入PIN碼。使用短程無線通信標準Z-Wave的鎖是一個例外。 Z-Wave是智能家居設備用於連接到互聯網的集線器的少數幾種無線技術之一,就像我們在測試中使用的SmartThings集線器一樣。除了Z-Wave兼容性之外,為了複製這個黑客,你還需要一個IFTTT帳戶(如果這個,然後那個),這是一個在線平臺,用於創建具有連接的智能設備的自定義命令和場景。要設置IFTTT命令(稱為“配方”),您需要將鎖連接到家庭的Z-Wave集線器,然後通過IFTTT登錄到您的集線器帳戶。這將鏈接兩個服務並解鎖所有自動化選項。
IFTTT食譜並非全都不好。當某個用戶鎖定或解鎖門時,您可以使用這些連接自動執行諸如在電子表格中發送通知或記錄操作等操作。您可以在回家時添加燈和智能電器,或者在您上鎖並離開時關閉電源。IFTTT還允許您創建自定義小程序,將智能家居產品結合在一起的規則。您可以使用數百種智能產品創建自動化,這些產品本身不能一起開箱即用。這就是允許無PIN解鎖工作的原因。例如,您可以創建一個自定義小程序,例如“如果外部溫度達到80度,則調整我的Nest恆溫器。”
在我的測試場景中,applet的“If This”部分是Google智能助理或亞馬遜Alexa的自定義短語。目前,使用HomePod無法解鎖智能鎖。使用Google智能助理,我創建了自定義命令“解鎖前門”。 “然後那個”部分是動作。在這種情況下,操作正在解鎖。要設置操作,我選擇了SmartThings,然後選擇瞭解鎖命令,然後從選項的下拉菜單中選擇了相應的智能鎖。點擊保存,你就完全了。然而,並非所有的綠燈和反應都是如此。在SmartThings可以控制解鎖之前,我必須切換幾個複選框和“我理解”彈出窗口。一旦我允許控制,一切都像一個魅力。同樣,這是將鎖連接到IFTTT命令所做的所有事情。
有什麼大不了的?
當然,每次想要解鎖門時,不必用PIN碼回答智能揚聲器的後續問題很方便,但這並不安全。它打開了你的家,任何能夠發出響亮而清晰的命令的人都能聽到智能揚聲器的耳朵。這可以通過家外的音頻傳感器完成。簡單地說,音頻傳感器採集聲音並將其轉換為電能或聲能。傳感器利用其振動將諧振表面如家的木門或玻璃窗變成揚聲器,將聲音投射到家中。將傳感器靠在窗戶上,播放錄音,上面寫著“好的谷歌,解鎖前門”,然後走進去。
是的,需要一個敏銳的入侵者來完成這項工作。它需要激活您在家中使用的特定語音助手,但這是如此難以猜測?我們中的許多人自豪地在廚房檯面或客廳貨架上展示我們閃亮的新型智能揚聲器。這樣可以輕鬆推斷出哪個語音助手正在控制您的家。簡單地嘗試每一個也不會那麼費時。入侵者還需要知道你在SmartThings平臺上命名你的鎖。這可能聽起來很難猜,但我們大多數人都認為我們的鎖具有一些方便而又非常明顯的“前門”或“門”。入侵者可以簡單地繼續猜測,直到他們做對了或用完換能器的電池電量。
還有什麼可能嗎?
未經授權進入您的家庭是一個主要問題,但這不是有人可以使用此漏洞的唯一方式。使用換能器在揚聲器內聽到的人也可以執行智能家居命令,例如打開燈或打開智能燈罩。在製作語音購買方面,這裡也存在真正的問題。雖然Google智能助理需要語音識別或語音代碼才能完成購買,但Alexa允許您停用語音代碼,而聽眾中的任何人都可以購買。如果發生錯誤購買,您將收到電子郵件收據,並且任何實體購買都有資格獲得退貨。儘管如此,很明顯,通過智能揚聲器解鎖和購買等產品的安全性仍由用戶負責。
製造商說什麼
我聯繫了八月,Kwikset,耶魯,SmartThings和IFTTT的評論。每家公司都做出了回應,而且這些消息通常不是承認客戶可以選擇繞過PIN,而應該考慮危險,甚至對它們負責。我聽到過這樣的短語:“房主接受了相關的風險”,並且“他們可以決定他們想要採取什麼樣的謹慎態度。” IFTTT的團隊建議客戶將他們的自定義命令設置為非常具體,例如“好的,谷歌,解鎖我的門碼六A九G.”官方公司聲明覆制如下,但要點全面相同:這需要您自擔風險。
八月(智能鎖的一個品牌)
在八月,我們優先考慮總是讓壞人出局,總是讓好人進去,然後方便。出於這個原因,我們強烈建議August Smart Lock用戶僅使用8月與語音助手的集成來解鎖他們的大門,以避免像您概述的那樣。在Kwikset,我們將安全放在首位,我們鼓勵我們的客戶,房主和租戶在家庭自動化方面做出明智的選擇。在將鎖與其他智能家居產品,系統,平臺和語音助理集成時,重要的是要教育自己並考慮您在安全性和便利性方面的價值。
根據IFTTT和您所呈現的情況,房主可以選擇通過語音助手無需PIN即可解鎖,以增加便利性。這是一個可選設置,雖然它確實通過語音助手實現與鎖的更加無縫的交互 - 通過啟用該功能,房主接受相關風險並有意識地決定優先考慮安全性的便利性。最終,房主確實可以控制他們的智能鎖定安全性,並且可以通過簡單地不啟用“無PIN解鎖”IFTTT配方來避免您概述的特定情況。
目前,許多主流語音控制設備和安全平臺需要PIN才能通過語音助手解鎖。 Kwikset和其他終端設備製造商已要求業內其他人優先考慮(需要PIN)以確保其客戶的安全。雖然在沒有PIN的情況下解鎖門似乎更快,但存在相關風險,Kwikset不建議危及您家的安全性以節省幾秒鐘。(Troy Brown,Kwikset電子系統首席工程師)
總結:
需要注意的是:無論好壞,有責任採取基本措施保證智能家居設備的安全。 如果你打算使用語音助手來解鎖你的門,那麼每次使用一個PIN,無論多麼煩惱都要有額外的步驟。
希望這篇文章對你有幫助!
收藏、轉發 告訴你的朋友!
喜歡記得關注我吧!
閱讀更多 濱州王三石 的文章
