未來(lái)很長(cháng)一段時(shí)間���,物聯(lián)網(wǎng)安全威脅都將是最大的安全威脅之一���,物聯(lián)網(wǎng)安全支出在信息安全整體市場(chǎng)的占比也將快速提升�,根據賽迪顧問(wèn)《2019中國網(wǎng)絡(luò )安全發(fā)展白皮書(shū)》�����,2018年中國物聯(lián)網(wǎng)安全市場(chǎng)規模達到 88.2 億�����,增速高達 34.7%�,明顯高于行業(yè)平均增速��。
回顧 2019 年��,設備安全依然是 2019 年物聯(lián)網(wǎng)安全的焦點(diǎn)問(wèn)題:從智能家居設備中的隱私問(wèn)題到僵尸網(wǎng)絡(luò )����,乃至全球范圍內基于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )發(fā)動(dòng)的分布式拒絕服務(wù) (DDoS) 攻擊�����。
以下是 2019 年值得關(guān)注的十大物聯(lián)網(wǎng)安全(系列)事件:
一����、物聯(lián)網(wǎng)設備的系統性安全缺陷和隱私風(fēng)險
2019 年 1 月份����,安全研究人員發(fā)現沃爾瑪和百思買(mǎi)等大型零售商銷(xiāo)售的熱門(mén)聯(lián)網(wǎng)或智能家居設備普遍存在嚴重安全漏洞和隱私問(wèn)題����。送檢的12種不同的物聯(lián)網(wǎng)設備均發(fā)現安全問(wèn)題��,包括缺少數據加密和缺少加密證書(shū)驗證�。這些設備包括來(lái)自不同制造商的智能相機�、智能插頭和安防產(chǎn)品�,包括 iHome�����、Merckry��、Momentum���、Oco��、Practecol��、TP-Link���、Vivitar���、Wyze和Zmodo�。這次安全 “體檢” 為整個(gè)物聯(lián)網(wǎng)行業(yè)敲響了警鐘�。
二�����、酒店偷拍攝像頭引發(fā)全民恐慌
2019 年��,國內影響最大物聯(lián)網(wǎng)安全事件非酒店偷拍莫屬��。過(guò)去兩年間酒店偷拍事件層出不窮����,從單體民宿��、自如�����、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免���,甚至前合肥市公安局長(cháng)都曾中招����。對于有隱私潔癖的用戶(hù)來(lái)說(shuō)�����,幾乎到了要背帳篷去酒店野營(yíng)的地步了�����。
面對日益高漲的個(gè)人隱私保護需求����,各路安全廠(chǎng)商和創(chuàng )業(yè)公司紛紛行動(dòng)起來(lái)�����。除了爆火的 Ping 之外�,百度安全 app 和 360 手機衛士都推出了 “偷拍檢測” 功能��,但是 APP 端檢測的一個(gè)弊端是智能檢測同局域網(wǎng) (WiFi) 段的偷拍攝像頭�����,對于獨立聯(lián)網(wǎng)和離線(xiàn)攝像頭無(wú)能為力�����,并不能做到百分之百的靠譜����,充其量只能算是輔助措施����,消費者需要對此有足夠清醒的認識��,必要的時(shí)候人肉排查+超輕雙人帳篷依然是終極方案��。
三�、震驚全美的Ring智能門(mén)鈴和安防監控頭丑聞
除了酒店��,家庭監控攝像頭也不省心�����。2019 年末��,亞馬遜旗下的 Ring 的隱私問(wèn)題和安全丑聞激增����,并且仍在持續發(fā)酵中����。
作為全球最火的家庭安防硬件產(chǎn)品之一—— Ring 曝出安全漏洞��,黑客可以監控用戶(hù)家庭��,而且 Ring 還會(huì )暴露用戶(hù)的 WiFi 密碼�����。大量用戶(hù)投訴自己的私生活被黑客傳到網(wǎng)上�����,甚至還有黑客通過(guò) Ring 攝像頭跟搖籃里的嬰兒打招呼�����。
更糟糕的是����,Ring 的隱私政策也成了眾矢之的����。Ring 承認與美國 600 多個(gè)警察部門(mén)合作�����,提供用戶(hù)視頻�。11 月份一些美國參議員要求亞馬遜披露如何確保 Ring 家庭攝像頭的安全性���,以及都有誰(shuí)可以訪(fǎng)問(wèn)這些錄像�����。
四��、安全漏洞迭出���,智能門(mén)鎖遭遇安全危機
研究人員在智能門(mén)鎖 Smart Deadbolts 中發(fā)現了一種流行的智能鎖漏洞��,攻擊者可以利用這些漏洞遠程打開(kāi)門(mén)并闖入房屋��。智能鎖的制造商 Hickory Hardware 已將補丁程序部署到了 Google Play 商店和 Apple App Store 上受影響的應用程序���。這只是 2019 年眾多智能門(mén)鎖安全漏洞的冰山一角�����。
6 月�����,研究人員警告說(shuō)���,U-tec 制造的智能門(mén)鎖 Ultraloq 出現故障����,攻擊者可以追蹤該設備的使用地點(diǎn)并完全控制該鎖�。
7 月���,兩位安全研究人員發(fā)現了 ZipaMicro 智能家居三個(gè)安全漏洞��,如果把它們連接在一起就可能會(huì )被濫用�,而結果就是導致用戶(hù)家的智能門(mén)鎖會(huì )被輕易打開(kāi)��。(下圖)
國內方面���,2018 年國內智能門(mén)鎖品牌已超過(guò) 3500 個(gè)���,2019 年市場(chǎng)規模有望突破 200 億元(是的��,你沒(méi)看錯����,一個(gè)小小的智能門(mén)鎖價(jià)值堪比全國信息安全市場(chǎng)的半壁江山了)��。雖然經(jīng)歷年初央視曝光 “小黑盒”���、APP 遠程控制漏洞���,但是國內智能門(mén)鎖硬件���、軟件���、云端等各個(gè)攻擊面的安全問(wèn)題并未得到更多用戶(hù)的重視�����。相關(guān)的安全開(kāi)發(fā)�、安全測試檢測(包括白帽子漏洞發(fā)掘)�����、技術(shù)標準和規范相對滯后�����。
一個(gè)比較亮眼的進(jìn)步是 12 月 20 日騰訊發(fā)布了《騰訊智能門(mén)鎖安全技術(shù)要求》��,從智能門(mén)鎖的終端�、通信及云平臺三個(gè)層面出發(fā)�,闡述系統安全等十五項安全技術(shù)要求����!兑蟆分羞構建了智能門(mén)鎖安全等級體系�����,為業(yè)內廠(chǎng)商�、機構和用戶(hù)對智能門(mén)鎖安全水平的測評提供了一整套操作流程標準���。但是考慮到騰訊也是智能家居和智能門(mén)鎖市場(chǎng)中的 “玩家”����,由騰訊制定的安全標準能否得到廣大智能門(mén)鎖廠(chǎng)商的認同和支持�����,目前還有待觀(guān)察�����。
五���、導致物聯(lián)網(wǎng)設備大規����!白兇u”的惡意軟件
6 月份���,一名 14 歲的黑客使用一種名為 Silex 的惡意軟件來(lái)欺騙多達 4,000 個(gè)不安全的物聯(lián)網(wǎng)設備��,然后突然關(guān)閉了其命令和控制服務(wù)器����。Silex 將不安全的 IoT 設備作為攻擊目標�,使其癱瘓(類(lèi)似2017年的 BrickerBot 惡意軟件一樣)�。Silex 專(zhuān)門(mén)針對運行 Linux 或 Unix 操作系統�����,采用默認或者已知密碼的的物聯(lián)網(wǎng) (IoT) 設備�����,破壞設備的磁盤(pán)分區���,刪除其防火墻和網(wǎng)絡(luò )配置�,并最終使其完全 “變磚”�����。
六�、200萬(wàn)物聯(lián)網(wǎng)攝像頭“裸奔”
聯(lián)網(wǎng)攝像頭是蓬勃發(fā)展的智慧城市的關(guān)鍵組件�����,同時(shí)其安全問(wèn)題的嚴峻性也日益凸顯�。
今年 4 月份���,安全研究者披露了可能是迄今最為嚴重的物聯(lián)網(wǎng)攝像頭安全漏洞��,受影響監控攝像頭數量超過(guò) 200 萬(wàn)個(gè)���,來(lái)自包括 HiChip���、TENVIS�、SV3C���、VStarcam��、Wanscam����、NEO Coolcam�、Sricam�、Eye Sight 和 HVCAM 等多個(gè)攝像頭廠(chǎng)商���。
這些產(chǎn)品都使用了某國內廠(chǎng)商開(kāi)發(fā)的名為 iLnkP2P 的 P2P 通訊組件�����。該組件包含兩個(gè)漏洞���,可能使遠程黑客能夠找到并接管設備中使用的易受攻擊的攝像機并監視其所有者���。
此外�,七月物聯(lián)網(wǎng)攝像頭制造商 Swann 修補了其聯(lián)網(wǎng)攝像頭中的一個(gè)漏洞�,該漏洞使遠程攻擊者可以訪(fǎng)問(wèn)其視頻源�。9 月�����,多達 80 萬(wàn)個(gè)基于 IP 的閉路電視攝像機暴露在零日漏洞攻擊之下�,該漏洞可能使黑客能夠訪(fǎng)問(wèn)監視攝像機����,監視和操縱視頻源或植入惡意軟件�����。
七��、智能玩具不再“好玩”
聯(lián)網(wǎng)智能玩具仍然不安全���。去年 12 月���,安全研究人員發(fā)現�,各種兒童專(zhuān)用的聯(lián)網(wǎng)玩具存在很多先天性的安全問(wèn)題�,例如缺少設備配對的身份驗證����,以及聯(lián)網(wǎng)帳戶(hù)缺乏加密���。在 2019 年美國黑帽大會(huì )上��,研究人員展示了 LeapPad Ultimate 兒童教育平板電腦的安全檢測結果�,表示該平板電腦存在許多安全問(wèn)題����,包括允許不良行為者跟蹤設備�,向孩子發(fā)送消息或發(fā)起中間人攻擊�。
LeapPad 平板電腦的一個(gè)應用程序 Pet Chat(寵物聊天)也存在安全問(wèn)題�����。Pet Chat 應用程序創(chuàng )建一個(gè) Wi-Fi Ad-Hoc 連接���,并使用簡(jiǎn)單的 SSID “Pet Chat” 廣播到附近的其他兼容設備�����。研究人員能夠使用名為 WiGLE 的工具——一個(gè)收集不同無(wú)線(xiàn)熱點(diǎn)信息的網(wǎng)站�����,在全球范圍內將位置和其他信息存儲在中央數據庫中��,以識別平板電腦��。
這意味著(zhù) “任何人都可以使用 Pet Chat 通過(guò)在公共 Wi-Fi 上找到它們����,或跟蹤其設備的 MAC 地址來(lái)識別 LeapPads 的位置�����。
八����、兒童智能手表安全問(wèn)題爆發(fā)
與其他物聯(lián)網(wǎng)和智能設備類(lèi)似�����,兒童智能手表也存在先天性的安全缺陷�����,例如可以暴露兒童的位置數據和個(gè)人信息��,從而為各種隱患制造伏筆���。
2019 年因安全問(wèn)題被曝光的智能手表產(chǎn)品包括中國的 M2 智能手表����,該智能手表存在的缺陷可能會(huì )泄露用戶(hù)的個(gè)人和 GPS 數據�����,并允許攻擊者監聽(tīng)和操縱對話(huà)����。此外安全研究人員還發(fā)現 Smartwatch TicTocTrack 存在大量安全問(wèn)題����,這些問(wèn)題使黑客能夠跟蹤和呼叫孩子���。
更糟糕的是���,與其他智能硬件產(chǎn)品類(lèi)似�����,智能手表的安全缺陷很有可能是全行業(yè)的系統性風(fēng)險�����。
九�����、智能音箱:大熱必死
在亞馬遜�����、谷歌�����、阿里����、百度等各路人工智能廠(chǎng)商數年風(fēng)風(fēng)火火的暖場(chǎng)演出后�,2019年智能音箱市場(chǎng)終于迎來(lái)總爆發(fā)��。
但在安全問(wèn)題上��,無(wú)論是特斯拉電動(dòng)車(chē)還是智能音箱����,一旦被信息安全界關(guān)注����,終究難逃“大熱必死“的魔咒����。
安全研究人員調查發(fā)現亞馬遜����、谷歌和蘋(píng)果的智能音箱存在嚴重的隱私侵犯問(wèn)題�。一份安全報告甚至披露亞馬遜雇傭了數千名審計員來(lái)收聽(tīng)Echo用戶(hù)的語(yǔ)音記錄�����。蘋(píng)果的Siri和Google Home也由于類(lèi)似的原因而受到抨擊���,有報道稱(chēng)Google員工可以識別和捕獲家庭暴力或機密商務(wù)電話(huà)的聲音����。
除此之外���,企業(yè)高管和商務(wù)人士偏愛(ài)的差旅神器Bose 降噪耳機�,也曾因為竊聽(tīng)用戶(hù)隱私被起訴�����,指控 Bose 一直在通過(guò) Bose Connect 應用監視用戶(hù)����,并監聽(tīng)用戶(hù)所有的對話(huà)和播放的內容�����。
總之���,音響設備的安全問(wèn)題和隱私威脅����,往往比我們想象的更為可怕����。
十�、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )野蠻生長(cháng)
自從 2014 年從冰箱上發(fā)動(dòng)首個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )攻擊后���,臭名昭著(zhù)的 Mirai IoT 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )在 2016 年一戰成名��,通過(guò)創(chuàng )記錄的 DDoS 攻擊沖垮了包括 Twitter�、Netflix 和 Github 等多家大型互聯(lián)網(wǎng)站點(diǎn)�����,導致 “半個(gè)美國掉線(xiàn)”�����,甚至公有云服務(wù)商 Akamai 也迫于 Mirai 的淫威停止了對爆料獨立安全博客 KrebsonSecurity 的庇護����。
當時(shí)���,信息安全界和人權組織就曾指出趨勢:物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò )將取代集權國家成為互聯(lián)網(wǎng)言論的終極審查者������;谖锫(lián)網(wǎng)僵尸網(wǎng)絡(luò )的超大規模 DDoS 攻擊����,已經(jīng)展現了自己在言論審查方面的 “威權”�����,已經(jīng)遠超任何一個(gè)國家政府的審查能力��。甚至在美國這樣一個(gè)標榜言論自由的國家��,沒(méi)有人能夠保護 Krebs 這樣一個(gè)享有盛譽(yù)的安全技術(shù)博客���。
2019 年��,恐怖的 Mirai 僵尸網(wǎng)絡(luò )繼續保持高速增長(cháng)�,同時(shí)也改變了其 TTP(戰術(shù)�����、技術(shù)和程序)����。據研究人員分析����,Mirai 的活動(dòng)在 2018 年第一季度至 2019 年第一季度之間幾乎翻了一番����。安全分析人員指出�,在過(guò)去的一年中����,Mirai 擴展了其技術(shù)�,以瞄準更多的處理器和更多的企業(yè)級硬件����。
踏入新十年��,物聯(lián)網(wǎng)安全領(lǐng)域逐漸成熟�,但也伴隨著(zhù)新一波的風(fēng)險����。
就在不久之前�����,“物聯(lián)網(wǎng)安全” 這個(gè)術(shù)語(yǔ)聽(tīng)起來(lái)還有點(diǎn)自相矛盾�����。但現在����,對物聯(lián)網(wǎng)安全重要性的認知已經(jīng)達到了空前的高度���。聯(lián)網(wǎng)設備如今已滲透到我們生活的方方面面��,從家居到工廠(chǎng)無(wú)處不在���,惡意黑客如今手握大把形形色色的終端目標����。
首頁(yè)