扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
随着物联网(IoT)市场突飞猛进,所有的家电产品,现在几乎都推出了互联型号。据 Gartner 预测,到 2015 年消费者的智慧家庭环境中将存在 29 亿台互联的物联网设备。
但尽管公众对智慧家庭的认可度不断提升,最新的研究显示,物联网设备的“安全”问题似乎并未得到同样的重视,这使得消费者的隐私可能被泄露。近日,赛门铁克最近分析了50 款目前上市的智慧家庭设备,对其安全性进行了评估。
互联家庭情况
在本次研究中,赛门铁克分析了以下类别的物联网设备:
我们的研究结果也适用于其他物联网设备和智慧家庭产品,如:
智慧家庭设备可能使用后端云服务来监控设备的使用情况,或支持用户远程控制这些系统。用户可以通过移动应用或 Web门户网站访问这些数据或控制设备。
我们的研究结果显示,许多设备和服务都存在一些基本的安全问题。
薄弱的身份认证机制
这些设备都没有使用相互身份认证功能或采用强密码。更糟糕的是,一些设备将身份认证密码限定为简单的四位PIN 码,使得用户无法在云接口上设置强密码。此外,这些设备还不支持双因素身份认证(2FA),并且无法应对密码暴力破解攻击,导致用户很容易成为攻击的目标。
Web漏洞
除了薄弱的身份认证机制外,许多智慧家庭Web接口还容易受到一些众所周知的Web应用漏洞的困扰。在对15个物联网云接口执行快速测试后,结果显示这些设备存在一些严重的漏洞,但此项测试只能检查表面问题。我们发现并报告了有关路径遍历、不受限制的文件上传(远程代码执行)、远程文件包含(RFI)和 SQL注入等十项漏洞。除了智能灯泡,涉及到的设备还包括智能门锁。我们可以通过互联网远程开门,甚至无需知道密码。
本地攻击
攻击者会通过侵入采用弱加密功能的Wi-Fi网络,攻击家庭网络,进而攻击用户的智能设备。我们发现,这些设备以明文方式本地传输密码或者根本不使用任何身份认证功能。物联网设备还存在一个共同的特点,即采用未签名的固件更新。此项安全功能的缺失会让攻击者能够轻易攻破家庭网络,破解物联网设备的密码。这些被盗的证书可用于执行其他命令,甚至还能通过恶意固件更新彻底控制设备。
潜在的攻击
到目前为止,我们还未发现大规模恶意软件瞄准智慧家庭设备,例如,路由器和网络连接存储设备等与电脑相关的设备。目前,提出的大多数物联网攻击只是概念验证,还没有使攻击者产生任何利润。但这并不意味着,未来当技术变得更加主流时,攻击者不会瞄准物联网设备。
回顾过去,如果攻击者的手段没有新意,我们就不会把他们太当回事,但实则相反,他们总能想到新的攻击方法。即使只是滥用技术、威胁用户或者攻击家庭网络,网络犯罪分子总能够随时准备并热衷于进攻任何目标。
所以不要过早的满足于新型智慧家庭自动化项目,需要花点时间想想这些便利的设备会如何暴露您的信息和家庭网络,进而使它们受到网络攻击。这就要求各大制造商生产安全性更高的智慧家庭设备和物联网设备,只有这样,安全问题才能够得到改善。
如果您想了解有关智慧家庭设备的更多分析和洞察,请参阅我们的白皮书。
应对方法
不幸的是,用户难以自行提高物联网设备的安全性,这是因为大多数设备不提供安全的操作模式。尽管如此,用户还应坚持采纳以下建议,确保降低其受到攻击的风险:
作为安全行业的领军企业,赛门铁克致力于帮助各大物联网设备制造商打造安全的物联网设备。开发新设备时,供应商应该考虑采纳以下五项基本原则:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者