智能电视、智能冰箱、智能路由器、智能空调……但凡你能想到的家居产品如今都慢慢被挂上了“智能”的字眼，然而这些智能设备让人们感受到便捷的同时却面临着安全的挑战。9月底的中国互联网安全大会(ISC2015)上，北京华永兴安科学技术有限公司创始人王英键现场演示了他的“黑”技术，并表示80%的IOT设备存在隐私泄露或者滥用风险。

　　图：王英键现场上演各种智能家居产品破解术

　　“好用的智能设备不一定安全”，ISC2015数据篡改与物联网安全论坛上，王英键从对一台智能路由器的挑剔说起。在王英键看来，路由器是一个家庭的网关，重要性不言而喻。但从黑客的角度来看，若要发动攻击，也是通过路由器接入局域网，在此过程中，王英键发现这类设备存在着不少缺陷，攻击者可以借此进行窃听。

　　王英键提出，80%的IOT设备存在隐私泄露或者滥用风险、80%的设备允许使用弱密码、70%的IOT设备通讯录没有加密、60%的IOT设备web界面存在漏洞、60%的IOT设备下载软件更新时没有使用加密。

　　针对智能家居的安全现状，王英键从黑客视角，介绍了普通采用的攻击模式和方法。他介绍称，针对传统家电所谓的“智能化”，常见以设备的身份验证、传输过程中敏感数据加密与否、云端是否作了访问控制等为攻击切入点，通过重放攻击、中间人攻击等手段，以手机APP通过云端给IoT设备下发指令、或者IoT设备通过云端向APP回馈数据，即APP与云端的交互、IoT设备和云端的交互作为攻击路径。

　　这意味着，利用这些安全隐患，黑客可能轻而易举的给隔壁老王制造恶作剧。通过侵入网络，以手机控制设备就能接受电视信号，然后通过设备转发控制电视，在家就能看到隔壁老王家的电视!除此之外，利用同样的方式可以控制老王家的空调、幕布升降、打开车门，这些都不是事儿。

　　如果你技术过硬、如果你足够调皮，还可以控制隔壁门铃的频率。通过设置一个固定码，就能让隔壁门铃不断响起，隔壁也会不断的开门，如此循环，光是想想就觉得很酸爽。

　　王英键演示的这些“黑”技术看起来很搞笑，但实际上物联网中普遍存在的弱口令、后门、漏洞等，一旦被不轨之人加以利用，小到个人生活、个人隐私安全，大到海量的大数据安全，甚至是人身安全都面临严峻威胁，不容小觑。对此，王英键建议IOT设备开发者尽量做到安全编码开发规范生产、设备固件签名、强大完善的固件签名、强大完善的复合身份认证机制、源代码审计等。

　　据悉，中国互联网安全大会是由中国互联网协会和360互联网安全中心共同创办于2013年，经过3年发展已经成长为亚太地区规模最大、最具影响的网络安全行业盛会。主题为“数据驱动安全”的2015中国互联网安全大会(ISC 2015)9月29日~30日在北京国家会议中心举行，在为期两天的会议中，来自中国、美国、以色列、澳大利亚、韩国、新加坡等国家的120位全球顶级安全专家，在中国互联网安全领袖峰会、全球互联网安全精英峰会和13个分论坛上围绕110个议题分享最新的研究成果和行业洞见，深入交流全球信息安全最新发展趋势，共同探讨网络安全行业未来。