随着科技的进步，城市越来越依赖智能技术，比如交通管理，灾难监测和响应以及远程控制等公用基础设施。这些系统通过4G，ZigBee和Wi-Fi等协议进行通信。

最近夏威夷发生意外虚假导弹警报之后，Threatcare和IBM X-Force Red的专家决定联手分析智能城市系统，以确认它是否存在可被利用的潜在危害漏洞。

两家公司的研究人员分析了Echelon，Libelium和Battelle的产品。他们测试发现在四种类型的智能城市产品中发现了17个先前未知的漏洞，包括8个被描述为“关键”的安全漏洞和6个“高度严重”漏洞。

研究人员测试了Echelon的i.LON 100和600路由器，发现产品允许组织监控和控制LonWorks设备，如泵，阀门，电机，传感器和灯。他们还分析了供应商的智能服务产品，产品描述为“通用控制器，路由器和智能能源管理器，将控制设备连接到基于IP的应用，如楼宇自动化，企业能源管理，需求响应计划和高价值远程资产管理程式。”共有五个漏洞被发现，包括两个允许绕过身份验证、默认凭据、明文密码和缺少加密通信的严重漏洞。

Libelium是一家专注于无线传感器网络硬件的公司，研究人员分析了其产品Meshlium，这是一个物联网网关，专门用于将传感器连接到任何云平台。研究发现了四个不同的预认证外壳注入缺陷实例，它们都被归类为“关键缺陷”。

至于全球研发组织Battelle，IBM和Threatcare则分析了其V2I（车辆到基础设施）Hub的两个版本产品，该产品用于将数据从交通信号控制器传送到联网车辆。

这些系统中发现的漏洞列表包括SQL注入，硬编码密码，不受保护的敏感功能，跨站点脚本（XSS）漏洞以及各种与API相关的问题。这些安全漏洞中的大多数已被认定为“严重”或“高度严重”等级。

这些基本安全漏洞的发现表明智能城市系统极易受到网络攻击，它们在公布前均已完成修复。但令人担忧的是，使用Shodan和Censys进行的在线搜索表明，不少易受攻击的系统可直接从互联网上访问，仍需相关人员提高重视程度，保持警惕。

“根据我们的逻辑推测，如果有人滥用智能系统中的漏洞，甚至可能造成灾难性影响。”研究人员说。专家描述了几种理论攻击场景：攻击者利用这些漏洞操纵水位传感器的数据显示水位，犯罪分子可以进行恶意攻击使得洪水期的水位显示为正常；黑客也可能通过操纵辐射传感器的数据触发辐射泄漏警告；攻击者可以通过劫持交通系统控制交通信号，同时引发建筑物紧急警报，触发枪击传感器。这些行为都可能造成意想不到的后果和规模巨大的民众恐慌。