本周数字：一千万个恶意安卓应用软件

在每日卡巴斯基博客中，我们曾列述”可被黑客攻击的消费者装置“名单列表。今天我们要在这份装置名称日期增加的列表中，再加入一项新装置：马桶装置。   事实上，在本年召开的黑帽安全会议中，一名研究员曾以”可能遭受黑客攻击的马桶”为主题给出简要描述。尽管在该会议期间我就想撰写有关该主题的文章，但最终我还是决定首先关注更具影响力的事物；尽管如此，当时我就暗下决心并向自己承诺，一定要撰写一篇有关该主题的文章。 应用程序安全公司Trustwave 的部分研究员层在8月份发表了一篇有关安全性建议的文章。该文章警告用户，SATIS智能马桶的安卓应用程序中包含硬编码型的蓝牙验证PIN码。该PIN码为”0000″，通过输入该PIN码，黑客可在蓝牙连接范围内操纵智能马桶的部分功能。一旦输入该PIN码，使用运行安卓系统的设备可通过蓝牙装置，和蓝牙装置连接信号范围内的所有Satis智能马桶相互连接。 简而言之，此类智能马桶的所有者存在遭受严重恶作剧式攻击的风险及和不幸意外事故相关的风险。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击，但对我而言，通过远程操控致使马桶功能失灵更为可怕。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击，但对我而言，通过远程操控致使马桶功能失灵更为可怕。 更具体的说，如果一名黑客希望对智能马桶发动攻击，他仅需要安装”我的Satis”应用程序；然后输入蓝牙PIN码，以使其所持有的黑客攻击设备和蓝牙通信范围内的所有Satis智能马桶相互连接（不得不承认的是，如果您拥有1个智能马桶，那么您可能拥有多个类似于智能马桶的设备）；最后，黑客可随意发动攻击，为您造成恶作剧玩笑至毁灭性打击程度范围内的任何伤害。根据Trustwave研究员所述，攻击者可以”造成马桶重复冲水，致使您的用水量激增，并最终造成用户水费增加。 更多需要关注（至少我个人认为应当关注）的事项是，黑客可能促使Satis智能马桶的马桶盖随意张合，或甚至激活坐盆及风干功能——再次借用Trustwave研究员的原话——”给智能马桶用户带来不适或痛苦。 尽管本文并非描述黑客针对胰岛素泵或汽车发动黑客攻击，但对我而言，通过远程操控致使马桶功能失灵更为可怕。 我不知道您应当采取何种措施，才能避免上述状况的出现。就目前而言，Satis智能马桶的开发商LIXIL公司，似乎仍未解决这一程序漏洞问题。我想您可以通过发送大量电子邮件，强烈要求LIXIL公司修复这一程序漏洞，这是您可以采用的措施之一。很明显，此类智能马桶中应配备有”匹配模式”功能。Trustwave的研究员声称，仅在智能马桶”匹配模式”启动的条件下，才可使用硬编码型的PIN码及安卓应用程序。Trustwave的研究员还声称，即便是您禁用匹配模式，您仍可使智能马桶匹配相关的安卓设备，但仅可能”通过观察蓝牙信息通信，了解智能马桶硬件地址后，才可能实现智能马桶和相关安卓设备之间的匹配”。该过程听起来相当复杂。因此，从一方面来说，禁用匹配模式可能是一个不错的主意；但从另一方面来说，如果您不能使用移动设备向智能马桶发送命令，那么购买智能马桶的意义何在？这个世界真复杂…… 尽管我不能肯定，您的家庭周围存在许多意图不轨的坏人；但我认为绝大多数Satis智能马桶的用户仍可在遭受此类黑客攻击时，保证其自身安全——毕竟想在您的家内制造恶作剧的人并不是太多。另外，在有人使用智能马桶时，通过黑客攻击打开坐盆这件事情本身，也不具有获利驱动力。但是，对于Satis智能马桶的用户来说，在其现实生活中需面对的残酷现实是，可以和单一智能马桶相连接的安卓智能设备过多。该状况极有可能造成，有人在不经意间（并非有意）通过他/她安卓设备中的”我的Satis”应用程序，启动智能马桶的某项功能。