技術(shù)宅Craig Heffner表示物聯(lián)網(wǎng)最大的隱患不在黑客，而在各種設(shè)備的制造商。

　　Tactical Network Solutions的研究員Craig Heffner在聯(lián)邦貿(mào)易委員會(FTC)的物聯(lián)網(wǎng)工坊上，回憶起一次他花了幾美刀就看到了數(shù)百個(gè)用戶的隱私信息。

　　當(dāng)時(shí)某硬件廠商給用戶提供了配套的云服務(wù)，卻忘了買下作為數(shù)據(jù)服務(wù)器的4個(gè)域名之一。于是Heffner用了9美刀拿下。

　　Heffner的這個(gè)做法并不違法，但制造商的一個(gè)疏漏卻讓用戶的隱私被輕松瓦解掉了。

　　連用戶都不在意的隱私還有誰在意?

　　我們都不得不承認(rèn)互聯(lián)網(wǎng)上已經(jīng)難有黑客翻不過來的墻，但越來越多的物聯(lián)網(wǎng)設(shè)備讓入侵變得異常地簡單。

　　Heffner表示，“這是因?yàn)楝F(xiàn)在的用戶沒有真正開始關(guān)注設(shè)備的信息安全，所以硬件廠商們也沒有動力去優(yōu)化這件事。廠商們更喜歡把資源放到耀眼的功能上。”

　　安全還真不是小事

　　今年11月的時(shí)候，F(xiàn)TC強(qiáng)制推行了一個(gè)關(guān)于設(shè)備信息安全的政策：但凡無法確保產(chǎn)品信息安全的公司，其安全業(yè)務(wù)會強(qiáng)制外包給FTC。

　　美國國家科學(xué)基金會的前VP Dick Cheney曾經(jīng)公開表示過他對恐怖分子入侵心臟起搏器的擔(dān)憂。于是過了幾年，馬薩諸塞大學(xué)的Kevin Fu帶著一個(gè)小分隊(duì)證明了這種入侵的可行性。

　　通常病人攜帶的心臟起搏器是通過一個(gè)封閉的數(shù)據(jù)系統(tǒng)和醫(yī)院端通信的。但Fu的研究小分隊(duì)不僅成功地從封閉系統(tǒng)上爬下了病人的醫(yī)療數(shù)據(jù)，而且還可以惡意地引導(dǎo)起搏器的工作頻率。

　　目前Fu已經(jīng)拿到國家科學(xué)基金會45萬美刀的資助，正在研發(fā)一個(gè)不可破解的起搏器。

　　黑客教程

　　說回Craig Heffner，現(xiàn)在他每個(gè)月都會舉辦一期跟物聯(lián)網(wǎng)有關(guān)的黑客教程。具體做什么呢?Heffner的大部分學(xué)員來自消費(fèi)電子和安全公司。然后每期的教程Heffner就會先教他們?nèi)绾稳肭致酚善骱透鞣N家電。然后教程的后半段則是對抗和修復(fù)這些漏洞。

　　Heffner表示他之所以開這個(gè)教程不是為了傳播這種對漏洞的利用，而是讓行業(yè)內(nèi)的人們?nèi)チ私庾约旱漠a(chǎn)品，如何把信息安全做得更好。