谁知道？即使是智能灯泡也可以泄露密码

许多年前，人们认为我们现在就有飞行汽车。他们对他们的预测过于乐观，但尽管如此，我们还找到了让生活变得更轻松的其他方法。例如，我们中的一些人现在已经解除了在天黑时不得不轻弹灯光的烦人烦恼。我们现在有“智能”灯泡，我们可以告诉他们自动切换。我们还可以打开智能手机的灯光，甚至无需从沙发上爬起来。

公平地说，不同的人对智能灯泡有不同的意见（并将继续有）。有些人认为它们是一种真正聪明的发明，可以为我们的生活增添品质。其他人认为它们和一个极其昂贵的榨汁机一样有用，它没有什么特别之处，并且由于无法以任何方式证明其合理性的原因而连接到互联网。

不过，我们可以同意一些事情。首先，智能灯泡的受欢迎程度正在增长，并且鉴于目前每个人似乎都沉迷于互联网的热潮，它可能会继续增长。我们都可以接受的第二件事是，连接到互联网的任何设备（无论是笔记本电脑， 烤面包机 ，还是灯泡）都必须能够抵御各种攻击。关于智能灯泡的痛苦事实是它们根本不是很安全。

研究人员在智能灯泡的安全性方面发现了漏洞

有限的结果是一个硬件安全博客，只存在了几个月，但它背后的人已经设法测试几个不同的互联网连接灯泡。结果远非令人鼓舞。

这些设备由一系列不同的制造商销售，包括小米和LIFX，购买价格在15欧元到30欧元（17美元到34美元）之间。其中一个灯泡是在网上订购的，没有CE证书。根据研究人员的说法，奇怪的设计决策和廉价的材料将其变成了严重的危险，不应该放在电力附近。不过，这不是实验的内容。

您可能知道，典型的智能灯泡设置包括在智能手机上下载应用程序，在手机和灯泡之间建立连接，然后告诉它应连接到哪个无线网络。灯泡保存SSID和您的Wi-Fi密码并保持与家庭网络的连接，这意味着它可以从手机上的应用程序接收命令。研究人员希望了解灯泡存储的数据类型和方式。

设备被打开，并检索了他们的Wi-Fi模块。将它们连接到计算机后，有限结果发现所有灯泡都以纯文本形式存储了Wi-Fi凭证。

还发现了其他缺陷，包括保存的加密密钥，可以解密无线流量。对于由Lyasi制造的灯泡，Limited Results设法重新组装设备并远程控制它，而无需经过身份验证的应用程序。

这并不是一个令人震惊的发现

有限结果的实验揭示了一些缺陷，诚然，不应该为购买这些设备的许多普通用户带来问题. 在现实世界中，这种类型的攻击取决于黑客窃取灯泡或从受害者的垃圾中取回它，这不是大多数人的威胁模型的一部分。然而，这并不意味着研究没有价值。

自从智能设备开始变得时髦以来，专家一直在努力提高对即使是最基本的安全机制的实施缺乏的认识。该业务正以爆炸性的速度增长，制造商急于以最低的价格推出具有最佳功能的最新产品。安全性正在逐渐降低，黑客正在利用越来越多的可怕的不安全的小工具，这些小工具充斥着互联网。虽然有一两个合理的破坏性攻击涉及物联网设备，但用户似乎并不特别担心。尽管如此，他们完全有权知道风险并自行决定他们是否愿意接受风险。