智能家居产品和家庭自动化的目标是让您的生活更简单。通过家中的连接产品,您无需担心平常的任务,例如在睡觉前关掉所有灯或在外面冒险,以确保您记得关闭车库门。通过您的声音来控制所有智能家居的漂亮自动化,快速,免提,仍然充满未来感。但是,这有风险,尤其是智能锁。
在美国一位名叫Brad“RenderMan”的安全研究员Haines联系了CNET,其中有一个关于智能锁和语音解锁的简单漏洞。通过音频传感器和IFTTT配方设计与Z-Wave智能锁配合使用,入侵者可以使用语音命令从外部解锁您的门。这个技巧只有在您首先配置智能锁的工作做得不好时才有效,但它的工作原理说明了那些没有采取一些基本步骤来保障家园安全的消费者的潜在漏洞。
我在CNET智能家居的这个智能锁漏洞试了三个着名的智能锁:August Smart Lock Pro,Kwikset Obsidian和耶鲁的Assure SL触摸屏Deadbolt。这是怎么回事。
智能锁定如何工作
用于解锁智能锁的大多数语音命令都要求您口头输入PIN码。使用短程无线通信标准Z-Wave的锁是一个例外。 Z-Wave是智能家居设备用于连接到互联网的集线器的少数几种无线技术之一,就像我们在测试中使用的SmartThings集线器一样。除了Z-Wave兼容性之外,为了复制这个黑客,你还需要一个IFTTT帐户(如果这个,然后那个),这是一个在线平台,用于创建具有连接的智能设备的自定义命令和场景。要设置IFTTT命令(称为“配方”),您需要将锁连接到家庭的Z-Wave集线器,然后通过IFTTT登录到您的集线器帐户。这将链接两个服务并解锁所有自动化选项。
IFTTT食谱并非全都不好。当某个用户锁定或解锁门时,您可以使用这些连接自动执行诸如在电子表格中发送通知或记录操作等操作。您可以在回家时添加灯和智能电器,或者在您上锁并离开时关闭电源。IFTTT还允许您创建自定义小程序,将智能家居产品结合在一起的规则。您可以使用数百种智能产品创建自动化,这些产品本身不能一起开箱即用。这就是允许无PIN解锁工作的原因。例如,您可以创建一个自定义小程序,例如“如果外部温度达到80度,则调整我的Nest恒温器。”
在我的测试场景中,applet的“If This”部分是Google智能助理或亚马逊Alexa的自定义短语。目前,使用HomePod无法解锁智能锁。使用Google智能助理,我创建了自定义命令“解锁前门”。 “然后那个”部分是动作。在这种情况下,操作正在解锁。要设置操作,我选择了SmartThings,然后选择了解锁命令,然后从选项的下拉菜单中选择了相应的智能锁。点击保存,你就完全了。然而,并非所有的绿灯和反应都是如此。在SmartThings可以控制解锁之前,我必须切换几个复选框和“我理解”弹出窗口。一旦我允许控制,一切都像一个魅力。同样,这是将锁连接到IFTTT命令所做的所有事情。
有什么大不了的?
当然,每次想要解锁门时,不必用PIN码回答智能扬声器的后续问题很方便,但这并不安全。它打开了你的家,任何能够发出响亮而清晰的命令的人都能听到智能扬声器的耳朵。这可以通过家外的音频传感器完成。简单地说,音频传感器采集声音并将其转换为电能或声能。传感器利用其振动将谐振表面如家的木门或玻璃窗变成扬声器,将声音投射到家中。将传感器靠在窗户上,播放录音,上面写着“好的谷歌,解锁前门”,然后走进去。
是的,需要一个敏锐的入侵者来完成这项工作。它需要激活您在家中使用的特定语音助手,但这是如此难以猜测?我们中的许多人自豪地在厨房台面或客厅货架上展示我们闪亮的新型智能扬声器。这样可以轻松推断出哪个语音助手正在控制您的家。简单地尝试每一个也不会那么费时。入侵者还需要知道你在SmartThings平台上命名你的锁。这可能听起来很难猜,但我们大多数人都认为我们的锁具有一些方便而又非常明显的“前门”或“门”。入侵者可以简单地继续猜测,直到他们做对了或用完换能器的电池电量。
还有什么可能吗?
未经授权进入您的家庭是一个主要问题,但这不是有人可以使用此漏洞的唯一方式。使用换能器在扬声器内听到的人也可以执行智能家居命令,例如打开灯或打开智能灯罩。在制作语音购买方面,这里也存在真正的问题。虽然Google智能助理需要语音识别或语音代码才能完成购买,但Alexa允许您停用语音代码,而听众中的任何人都可以购买。如果发生错误购买,您将收到电子邮件收据,并且任何实体购买都有资格获得退货。尽管如此,很明显,通过智能扬声器解锁和购买等产品的安全性仍由用户负责。
制造商说什么
我联系了八月,Kwikset,耶鲁,SmartThings和IFTTT的评论。每家公司都做出了回应,而且这些消息通常不是承认客户可以选择绕过PIN,而应该考虑危险,甚至对它们负责。我听到过这样的短语:“房主接受了相关的风险”,并且“他们可以决定他们想要采取什么样的谨慎态度。” IFTTT的团队建议客户将他们的自定义命令设置为非常具体,例如“好的,谷歌,解锁我的门码六A九G.”官方公司声明复制如下,但要点全面相同:这需要您自担风险。
八月(智能锁的一个品牌)
在八月,我们优先考虑总是让坏人出局,总是让好人进去,然后方便。出于这个原因,我们强烈建议August Smart Lock用户仅使用8月与语音助手的集成来解锁他们的大门,以避免像您概述的那样。在Kwikset,我们将安全放在首位,我们鼓励我们的客户,房主和租户在家庭自动化方面做出明智的选择。在将锁与其他智能家居产品,系统,平台和语音助理集成时,重要的是要教育自己并考虑您在安全性和便利性方面的价值。
根据IFTTT和您所呈现的情况,房主可以选择通过语音助手无需PIN即可解锁,以增加便利性。这是一个可选设置,虽然它确实通过语音助手实现与锁的更加无缝的交互 - 通过启用该功能,房主接受相关风险并有意识地决定优先考虑安全性的便利性。最终,房主确实可以控制他们的智能锁定安全性,并且可以通过简单地不启用“无PIN解锁”IFTTT配方来避免您概述的特定情况。
目前,许多主流语音控制设备和安全平台需要PIN才能通过语音助手解锁。 Kwikset和其他终端设备制造商已要求业内其他人优先考虑(需要PIN)以确保其客户的安全。虽然在没有PIN的情况下解锁门似乎更快,但存在相关风险,Kwikset不建议危及您家的安全性以节省几秒钟。(Troy Brown,Kwikset电子系统首席工程师)
总结:
需要注意的是:无论好坏,有责任采取基本措施保证智能家居设备的安全。 如果你打算使用语音助手来解锁你的门,那么每次使用一个PIN,无论多么烦恼都要有额外的步骤。
希望这篇文章对你有帮助!
收藏、转发 告诉你的朋友!
喜欢记得关注我吧!
閱讀更多 濱州王三石 的文章
