智能家电正变成骇客的「黑暗入口」，你的助记词可能已被监视！

扫地机器人以及其他智慧家电设备很容易被骇客入侵，用来记录你的密码输入或助记词。想象一下，有一天早晨醒来发现扫地机器人失控，冰箱开始向你索要赎金，而你的加密货币和银行账户资金已被洗劫一空。

这不是史蒂芬．金 1986 年的恐怖电影《火魔战车》（Maximum Overdrive）里的情节，那部电影讲述了一颗流浪彗星引发全球机器杀人狂潮的故事。

相反，如果骇客通过你家中的智慧设备入侵你的电脑可能导致的现实风险。随着全球 IoT 设备数量预计达到 188 亿，每天平均发生约 82 万次 IoT 攻击，这种场景的可能性正在增加。

「不安全的物联网设备（例如路由器）可能成为入侵家庭网络的入口，」区块链安全公司 Beosin 的研究员 Tao Pan 在接受采访时表示。

截至 2023 年，美国普通家庭平均拥有 21 台联网设备，其中三分之一的智慧家庭设备消费者在过去 12 个月内经历过资料外泄或诈骗事件。

「一旦被骇客入侵，攻击者可以横向移动来存取连接的设备，包括用于加密货币交易的电脑或手机，还可以捕获设备与交易所之间的登录凭证。这对于使用 API 进行加密货币交易的使用者尤其危险，」他补充道。

那么，骇客究竟能窃取您家里的哪些信息，又能造成哪些损害呢？

《Magazine》收集了过去几年发生的一些最离奇的骇客事件，其中包括一起门禁感测器被骇客入侵以挖掘加密货币的案例。我们还整理了一些保护资料和加密货币安全的实用建议。

入侵咖啡机

2019 年，网络安全公司 Avast 的研究员 Martin Hron 展示了骇客如何轻松存取家庭网络及其设备的方法。

他选择了一个简单的目标：远端入侵自己的咖啡机。

Hron 解释说，与大多数智慧设备一样，咖啡机采用预设设置，无需密码即可将设备连接到 WiFi，这使得将恶意程序码上传到机器中变得很容易。

「许多物联网设备首先通过其自身的 WiFi 网络连接到家庭网络，该网络仅用于设置设备。理想情况下，消费者会立即使用密码保护该 WiFi 网络，」Hron 解释道。

「但许多设备在出厂时都没有设置密码来保护 WiFi 网络，而且许多消费者也没有设置密码，」他补充道。

原影片连结

「我可以为所欲为，因为我可以替换韧体，也就是操作咖啡机的软件。而且我可以用任何我想要的东西替换它。我可以新增功能，删除功能，还可以攻破内建的安全措施。所以，我可以为所欲为，」他在 Avast 发布的影片中说道。

在他的演示中，Hron 通过咖啡机显示了一封勒索信，设备被锁定，除非支付赎金，否则无法使用。

你可以选择关闭设备，但这意味着你再也喝不到咖啡了（Avast/YouTube）

然而，除了显示勒索信，咖啡机还可能被用来执行更恶意的操作，比如打开加热器制造火灾隐患，或者喷射沸水以威胁受害者。

更可怕的是，它可能悄悄地成为进入整个网络的入口，让骇客可以监视你的银行账户信息、邮件甚至加密助记词。

入侵赌场鱼缸

最著名的案例之一发生在 2017 年，骇客通过入侵拉斯维加斯一家赌场大厅内的联网鱼缸，传输了 10GB 的资料。

鱼缸配备了用于调节温度、喂食和清洁的感测器，这些感测器连接到赌场网络上的一台电脑。骇客通过鱼缸进入网络的其他区域，并将资料发送到芬兰的远端服务器。

鱼缸可能看起来像这样（Muhammad Ayan Butt/ Unsplash）

尽管赌场部署了常规的防火墙和防毒软件，攻击仍然成功进行。幸运的是，攻击迅速被识别并处理。

网络安全公司 Darktrace 执行长 Nicole Eagan 当时告诉 BBC：「我们立即阻止了它，没有造成任何损害。」她还补充说，互联网连接设备数量的不断增长意味着「那里是骇客的天堂」。

门感测器还可以偷偷挖矿

2020 年，在全球因新冠疫情而关闭的办公室里，网络安全公司 Darktrace 发现了一起秘密加密货币挖矿事件——骇客利用控制办公室生物门禁的服务器进行非法挖矿。

这起事件的线索来源于服务器从一个未曾在网络中出现过的外部 IP 位址下载了可疑的可执行档案。随后，服务器多次连接到与隐私代币门罗币（Monero）矿池相关的外部端点。

这种攻击被称为「加密劫持」（Cryptojacking），微软威胁情报团队在 2023 年发现了更多此类攻击案例，骇客将目标锁定在 Linux 系统和连接到互联网的智慧设备。

微软调查发现，攻击者会通过暴力破解接入互联网的 Linux 和物联网设备来发起攻击。一旦进入网络，他们会安装后门程序，随后下载并运行加密货币挖矿恶意软件。这不仅会导致电费飙升，还会将所有挖矿收益直接转入骇客的钱包。

这种加密劫持的案例层出不穷，其中一个最新案例涉及将加密劫持程序码嵌入伪造的 404 HTML 页面中。

骇客入侵智慧设备：摧毁电网

更可怕的是，普林斯顿大学的安全研究人员曾提出一种假设：如果骇客能控制足够多的高耗能设备，比如 21 万台空调，并让它们同时开启，将可能导致相当于加州人口，约 3800 万人突然断电。

这些设备需要集中在电网的某一部分，同时开启，以导致某些电力线路的电流过载，从而损坏或触发线路上的保护继电器，使其关闭。这会将负载转移到剩余的线路上，进一步加剧电网压力，最终引发连锁反应。

不过，这种情况需要精确的恶意时间安排，因为电网波动在特殊天气（如热浪）期间是常见现象。

扫地机器人正在看着你

去年，美国多地的扫地机器人突然开始自行启动。原来，骇客发现了一款中国制造的 Ecovac 扫地机器人存在严重的安全漏洞。

据报道，骇客可以远端操控这些设备，用它们恐吓宠物，通过内建扬声器对使用者大喊脏话，甚至使用内建摄影机窥探使用者家中环境。

一张来自被骇的 Ecovac 扫地机器人即时画面的图片（ABC 新闻）

「物联网设备的一个严重问题是，许多厂商仍然对安全问题关注不足，」网络安全公司 Kaspersky 表示。

显而易见，如果骇客掌握了你输入密码或记录助记词的视频画面，后果将不堪设想。

如何保护自己免受智慧设备骇客攻击？

环顾四周，你可能会发现家中几乎所有设备都连接了互联网——扫地机器人、数位相框、门铃摄影机。那么你该如何保障你的比特币安全呢？

一种选择是采用专业骇客 Joe Grand 的方法：彻底避免使用任何智慧设备。

「我的手机是家里最智慧的设备，但即使如此，我也不情愿使用手机，只是为了导航和与家人沟通，」他曾告诉《Magazine》，「但智慧设备？绝对不可能。」

Avast 的 Hron 表示，最好的办法是确保为智慧设备设置密码，并避免使用预设设置。

其他专家建议，为物联网设备使用独立的访客网络，尤其是那些无需与电脑和手机共享网络的设备；在设备不使用时断开连接；并保持软件及时更新。

此外，还有一种联网收费搜寻引擎，可以帮助使用者查看家中联网设备及可能存在的漏洞。