智能家电安全（智能家电安全连载第三期）

前两期智能家电破解介绍了智能家电的安全体系和智能家电所使用的协议。从本期开始会分别介绍智能家电的网络拓扑结构、安全漏洞和修补方案建议。

一、智能家电网络拓扑图

              图1:智能家电网络拓扑图

(1)智能家电分为两种类型,第一种类型是安装Android操作系统的智能家电,比如冰箱、电视等带有智能操作系统的智能家电。设备可以和云端交互,用户手机端的APP可以对设备进行控制和管理。

(2)第二种类型的智能家电没有安装操作系统,但是可以和云端交互,并且用户的APP 可以通过向云端发送指令后对设备进行控制和管理。如洗衣机和空调等。

(3)不同类型的智能家电由于使用的控制模式以及和云端的通讯方式不同,所面临的安全威胁也不同。

二、智能家电安全加固方案

基于http协议的攻击大多数是利用指令捕获,然后使用电脑进行指令重放,最后对指令进行个性化改造尝试各种可能性。

1.  使用https协议传输数据,https的数据包经过了加密处理,看不到有意义的明文信息,那么攻击者很难获取指令信息,也无法进行指令重放攻击。

2.  避免弱密钥的使用,当攻击者遇到相对复杂的密码时一般很难以继续进行下去。

3.  服务器不要返回过多没必要的信息,攻击者往往需要根据服务器的返回信息进行测试以确认一些信息

4.  尽量避免明文传送信息,可以使用私有加密算法对信息进行加密

5.  每次指令都需要对指令来源进行身份认证,可以加入设备信息。