8月1日消息,據(jù)國(guó)外媒體報(bào)道,對(duì)10款高人氣的物聯(lián)網(wǎng)設(shè)備進(jìn)行的安全審查發(fā)現(xiàn),它們存在的安全缺陷驚人地多。
惠普旗下Fortify部門的研究人員進(jìn)行的這項(xiàng)研究持續(xù)了3周時(shí)間,涉及十大類最常見的物聯(lián)網(wǎng)產(chǎn)品:電視機(jī)、網(wǎng)絡(luò)攝像頭、家用溫控器、遙控電源插座、灑水器控制器、用于控制多種設(shè)備的控制器、門鎖、家用報(bào)警器、磅秤和車庫(kù)門遙控開關(guān)。
所有這些產(chǎn)品都連接到某種云服務(wù)和移動(dòng)應(yīng)用,使用戶能遠(yuǎn)程控制它們?;萜昭芯咳藛T發(fā)現(xiàn)了總共250個(gè)安全缺陷,其中包括隱私、不對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密、Web界面缺陷、不安全的固件升級(jí)機(jī)制、虛弱的身份認(rèn)證機(jī)制等。
研究人員在報(bào)告中寫道,“在10款提供用戶界面的設(shè)備中,6款存在一系列問題,例如跨站點(diǎn)腳本缺陷和虛弱的身份認(rèn)證機(jī)制。” 7成設(shè)備使用非加密的網(wǎng)絡(luò)服務(wù),使得它們與云服務(wù)、移動(dòng)應(yīng)用的連接容易遭受中間人攻擊。8成設(shè)備沒有使用足夠長(zhǎng)和復(fù)雜的密碼。研究人員能利用強(qiáng)度很低的密碼——例如“1234”或“123456”,配置大多數(shù)設(shè)備。研究人員說(shuō),“黑客能夠利用低強(qiáng)度的密碼、不安全的密碼恢復(fù)機(jī)制、虛弱的身份認(rèn)證機(jī)制等缺陷,獲得設(shè)備訪問權(quán)限。” 6成設(shè)備下載固件升級(jí)包時(shí)沒有使用加密技術(shù)。另外,升級(jí)包文件本身也沒有任何保護(hù)機(jī)制,這意味著在下載過程中黑客可以篡改文件。
惠普研究人員表示,廠商應(yīng)當(dāng)根據(jù)開放Web應(yīng)用程序安全項(xiàng)目提出的物聯(lián)網(wǎng)設(shè)備十大安全問題清單對(duì)它們的產(chǎn)品進(jìn)行安全評(píng)估。研究中發(fā)現(xiàn)的許多缺陷被認(rèn)為是“容易實(shí)現(xiàn)的目標(biāo)”,修正很方便,而且不會(huì)對(duì)用戶體驗(yàn)產(chǎn)生影響。
今年針對(duì)家用路由器、網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備、數(shù)字視頻錄像機(jī)和其他嵌入式系統(tǒng)進(jìn)行攻擊的事例非常多,表明黑客已經(jīng)開始了解攻擊這類設(shè)備的潛力,尋求通過攻擊這些設(shè)備賺錢的途徑。