《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 物聯(lián)網(wǎng)安全之殤 設(shè)備制造商安全意識(shí)極度匱乏

物聯(lián)網(wǎng)安全之殤 設(shè)備制造商安全意識(shí)極度匱乏

2015-09-16

  近日,安全公司Rapid7在對(duì)9個(gè)嬰兒監(jiān)視器進(jìn)行測(cè)試之后,發(fā)現(xiàn)其中8個(gè)在測(cè)試中存在初級(jí)的安全問(wèn)題。這充分表明了當(dāng)前的物聯(lián)網(wǎng)設(shè)備制造商在安全方面仍有很大的成長(zhǎng)空間,也就是說(shuō),在安全方面他們還需要很長(zhǎng)的時(shí)間去探索。

  隨著當(dāng)前越來(lái)越多的消費(fèi)設(shè)備接入到互聯(lián)網(wǎng)中,越來(lái)越多的由于設(shè)計(jì)缺陷而導(dǎo)致的安全漏洞也不斷浮出,這不但使得這些設(shè)備極易受到攻擊,并且,實(shí)際情況表明針對(duì)此類(lèi)設(shè)備的攻擊已經(jīng)越來(lái)越多。

  例如,在上文所提到的Rapid7對(duì)9個(gè)嬰兒監(jiān)視器的測(cè)試中,Rapid7便發(fā)現(xiàn)了10個(gè)嚴(yán)重的漏洞,其中有5個(gè)是供應(yīng)商所留下的后門(mén)。具體來(lái)說(shuō),設(shè)備制造公司在設(shè)備中創(chuàng)建了一個(gè)計(jì)分卡的安全設(shè)計(jì),但只需要鍵入一個(gè)“d”便可使任意人進(jìn)入該設(shè)備。

  而在Rapid7全球服務(wù)的高級(jí)安全顧問(wèn)Mark Stanislav看來(lái),沒(méi)有一個(gè)供應(yīng)商會(huì)在其產(chǎn)品所采取的安全措施方面做宣傳,或者說(shuō)這樣的情況是極為少見(jiàn)的。而作為一個(gè)約從50美元到250美元價(jià)格不等的設(shè)備而言,這樣的標(biāo)價(jià)幾乎與安全性沒(méi)有任何的聯(lián)系。 “作為一個(gè)消費(fèi)者,要想知道你所購(gòu)買(mǎi)的商品是不是安全的,這是非常困難的?!?Mark Stanislav說(shuō)道:“不幸的是,從物聯(lián)網(wǎng)的安全現(xiàn)狀來(lái)看,目前的情況并不值得我們樂(lè)觀(guān)”。

f7d490692f64190cc7caa0fdce202824.jpg

  連接設(shè)備,也被稱(chēng)為物聯(lián)網(wǎng),正越來(lái)越受到安全研究人員的關(guān)注。而通常情況下,安全研究人員都會(huì)從其中發(fā)現(xiàn)重大安全漏洞。今年2月,惠普公司的安全部門(mén)便發(fā)現(xiàn),物聯(lián)網(wǎng)安全系統(tǒng)存在明顯的漏洞,當(dāng)用戶(hù)未使用設(shè)備時(shí)同樣會(huì)面臨被攻擊的風(fēng)險(xiǎn)。而在去年,賽門(mén)鐵克和Rapid7也發(fā)布了類(lèi)似的研究,發(fā)現(xiàn)在眾多的物聯(lián)網(wǎng)設(shè)備中都存在安全漏洞。

  在最新的研究中,Rapid7分析了來(lái)自8個(gè)不同供應(yīng)商的9個(gè)不同的運(yùn)作模式的嬰兒監(jiān)視器,并發(fā)現(xiàn)其中存在的重大漏洞可能允許攻擊者訪(fǎng)問(wèn)監(jiān)視器或通過(guò)代碼操作讓設(shè)備實(shí)際運(yùn)行。在這些設(shè)備中,服務(wù)器支持了一個(gè)在設(shè)備使用中可預(yù)見(jiàn)的url,攻擊者可以很容易地進(jìn)入并修改其他賬戶(hù)持有人的信息。這一設(shè)計(jì)方式在實(shí)時(shí)訪(fǎng)問(wèn)視頻時(shí)也同樣會(huì)導(dǎo)致第二個(gè)可被攻擊之處,因?yàn)楣?yīng)商是將實(shí)時(shí)視頻服務(wù)托管在公共網(wǎng)絡(luò)上的。第三個(gè)漏洞發(fā)生在服務(wù)支持相對(duì)較差的情況下,當(dāng)用戶(hù)在與親朋好友分享視頻時(shí),可導(dǎo)致視頻流被攻擊者任意訪(fǎng)問(wèn)。

  Rapid7為所測(cè)試的設(shè)備是否具有安全特性進(jìn)行了評(píng)比打分,這些安全特性包括:設(shè)備的本地和網(wǎng)絡(luò)通信是否使用了SSL加密、設(shè)備是否存在任何潛在的后門(mén)、是否隱藏賬戶(hù)或已知的漏洞等等。在滿(mǎn)分為100分的情況下,測(cè)試結(jié)果表明有8個(gè)設(shè)備分?jǐn)?shù)在0到50之間,未通過(guò)安全測(cè)試。而唯一勉強(qiáng)算是通過(guò)測(cè)試的設(shè)備也只有64分。

  “比分的結(jié)果比更多的工程實(shí)踐更加能夠表明,物聯(lián)網(wǎng)安全的決定性的因素還是在于產(chǎn)品的設(shè)計(jì)階段和實(shí)現(xiàn)階段?!?Mark Stanislav說(shuō)道。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀(guān)點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118;郵箱:aet@chinaaet.com。