警惕智慧家庭領(lǐng)域物聯(lián)網(wǎng)泄露您的家庭隱私

責(zé)任編輯:editor007

作者:子鉃

2015-03-17 20:10:37

摘自:賽迪網(wǎng)

隨著物聯(lián)網(wǎng)(IoT)市場(chǎng)突飛猛進(jìn),所有的家電產(chǎn)品,現(xiàn)在幾乎都推出了互聯(lián)型號(hào)?!?duì)物聯(lián)網(wǎng)設(shè)備執(zhí)行高效、基于主機(jī)的保護(hù)功能,例如,端點(diǎn)保護(hù)和系統(tǒng)加固功能 

隨著物聯(lián)網(wǎng)(IoT)市場(chǎng)突飛猛進(jìn),所有的家電產(chǎn)品,現(xiàn)在幾乎都推出了互聯(lián)型號(hào)。據(jù)Gartner預(yù)測(cè),到2015年消費(fèi)者的智慧家庭環(huán)境中將存在29億臺(tái)互聯(lián)的物聯(lián)網(wǎng)設(shè)備。

但盡管公眾對(duì)智慧家庭的認(rèn)可度不斷提升,最新的研究顯示,物聯(lián)網(wǎng)設(shè)備的“安全”問題似乎并未得到同樣的重視,這使得消費(fèi)者的隱私可能被泄露。近日,賽門鐵克最近分析了50款目前上市的智慧家庭設(shè)備,對(duì)其安全性進(jìn)行了評(píng)估。

互聯(lián)家庭情況

在本次研究中,賽門鐵克分析了以下類別的物聯(lián)網(wǎng)設(shè)備:

·智能溫控器

·智能門鎖

·智能燈泡

·智能煙霧探測(cè)器

·智能能源管理設(shè)備

·智能集線器

我們的研究結(jié)果也適用于其他物聯(lián)網(wǎng)設(shè)備和智慧家庭產(chǎn)品,如:

·安全警報(bào)

·監(jiān)控 IP 攝像頭

·娛樂系統(tǒng)(智能電視和電視機(jī)頂盒等)

·寬帶路由器

·網(wǎng)絡(luò)連接存儲(chǔ)(NAS)設(shè)備

智慧家庭設(shè)備可能使用后端云服務(wù)來監(jiān)控設(shè)備的使用情況,或支持用戶遠(yuǎn)程控制這些系統(tǒng)。用戶可以通過移動(dòng)應(yīng)用或 Web門戶網(wǎng)站訪問這些數(shù)據(jù)或控制設(shè)備。

我們的研究結(jié)果顯示,許多設(shè)備和服務(wù)都存在一些基本的安全問題。

薄弱的身份認(rèn)證機(jī)制

這些設(shè)備都沒有使用相互身份認(rèn)證功能或采用強(qiáng)密碼。更糟糕的是,一些設(shè)備將身份認(rèn)證密碼限定為簡(jiǎn)單的四位PIN 碼,使得用戶無法在云接口上設(shè)置強(qiáng)密碼。此外,這些設(shè)備還不支持雙因素身份認(rèn)證(2FA),并且無法應(yīng)對(duì)密碼暴力破解攻擊,導(dǎo)致用戶很容易成為攻擊的目標(biāo)。

Web漏洞

除了薄弱的身份認(rèn)證機(jī)制外,許多智慧家庭Web接口還容易受到一些眾所周知的Web應(yīng)用漏洞的困擾。在對(duì)15個(gè)物聯(lián)網(wǎng)云接口執(zhí)行快速測(cè)試后,結(jié)果顯示這些設(shè)備存在一些嚴(yán)重的漏洞,但此項(xiàng)測(cè)試只能檢查表面問題。我們發(fā)現(xiàn)并報(bào)告了有關(guān)路徑遍歷、不受限制的文件上傳(遠(yuǎn)程代碼執(zhí)行)、遠(yuǎn)程文件包含(RFI)和 SQL注入等十項(xiàng)漏洞。除了智能燈泡,涉及到的設(shè)備還包括智能門鎖。我們可以通過互聯(lián)網(wǎng)遠(yuǎn)程開門,甚至無需知道密碼。

本地攻擊

攻擊者會(huì)通過侵入采用弱加密功能的Wi-Fi網(wǎng)絡(luò),攻擊家庭網(wǎng)絡(luò),進(jìn)而攻擊用戶的智能設(shè)備。我們發(fā)現(xiàn),這些設(shè)備以明文方式本地傳輸密碼或者根本不使用任何身份認(rèn)證功能。物聯(lián)網(wǎng)設(shè)備還存在一個(gè)共同的特點(diǎn),即采用未簽名的固件更新。此項(xiàng)安全功能的缺失會(huì)讓攻擊者能夠輕易攻破家庭網(wǎng)絡(luò),破解物聯(lián)網(wǎng)設(shè)備的密碼。這些被盜的證書可用于執(zhí)行其他命令,甚至還能通過惡意固件更新徹底控制設(shè)備。

潛在的攻擊

到目前為止,我們還未發(fā)現(xiàn)大規(guī)模惡意軟件瞄準(zhǔn)智慧家庭設(shè)備,例如,路由器和網(wǎng)絡(luò)連接存儲(chǔ)設(shè)備等與電腦相關(guān)的設(shè)備。目前,提出的大多數(shù)物聯(lián)網(wǎng)攻擊只是概念驗(yàn)證,還沒有使攻擊者產(chǎn)生任何利潤(rùn)。但這并不意味著,未來當(dāng)技術(shù)變得更加主流時(shí),攻擊者不會(huì)瞄準(zhǔn)物聯(lián)網(wǎng)設(shè)備。

回顧過去,如果攻擊者的手段沒有新意,我們就不會(huì)把他們太當(dāng)回事,但實(shí)則相反,他們總能想到新的攻擊方法。即使只是濫用技術(shù)、威脅用戶或者攻擊家庭網(wǎng)絡(luò),網(wǎng)絡(luò)犯罪分子總能夠隨時(shí)準(zhǔn)備并熱衷于進(jìn)攻任何目標(biāo)。

所以不要過早的滿足于新型智慧家庭自動(dòng)化項(xiàng)目,需要花點(diǎn)時(shí)間想想這些便利的設(shè)備會(huì)如何暴露您的信息和家庭網(wǎng)絡(luò),進(jìn)而使它們受到網(wǎng)絡(luò)攻擊。這就要求各大制造商生產(chǎn)安全性更高的智慧家庭設(shè)備和物聯(lián)網(wǎng)設(shè)備,只有這樣,安全問題才能夠得到改善。

如果您想了解有關(guān)智慧家庭設(shè)備的更多分析和洞察,請(qǐng)參閱我們的白皮書。

應(yīng)對(duì)方法

不幸的是,用戶難以自行提高物聯(lián)網(wǎng)設(shè)備的安全性,這是因?yàn)榇蠖鄶?shù)設(shè)備不提供安全的操作模式。盡管如此,用戶還應(yīng)堅(jiān)持采納以下建議,確保降低其受到攻擊的風(fēng)險(xiǎn):

·在設(shè)備賬戶和 Wi-Fi網(wǎng)絡(luò)上采用獨(dú)特的強(qiáng)密碼

·更改默認(rèn)密碼

·設(shè)置 Wi-Fi 網(wǎng)絡(luò)時(shí),使用安全性更高的加密方法,如 WPA2

·沒有必要時(shí),關(guān)閉或保護(hù)物聯(lián)網(wǎng)設(shè)備的遠(yuǎn)程訪問功能

·如果可以,請(qǐng)使用有線連接,而不是無線連接

·如果可以,將設(shè)備連接到獨(dú)立的家庭網(wǎng)絡(luò)中

·購買二手物聯(lián)網(wǎng)設(shè)備時(shí)要十分小心,這是因?yàn)檫@些設(shè)備可能已被篡改

·研究供應(yīng)商提供的設(shè)備安全保護(hù)措施

·根據(jù)您的需要,修改設(shè)備的隱私和安全設(shè)置

·禁用多余的功能

·安裝最新更新

·確保像干擾或網(wǎng)絡(luò)故障等造成的停機(jī)不會(huì)導(dǎo)致不安全的安裝狀態(tài)

·確認(rèn)是否要使用智能功能,或者普通設(shè)備是否能夠滿足要求

作為安全行業(yè)的領(lǐng)軍企業(yè),賽門鐵克致力于幫助各大物聯(lián)網(wǎng)設(shè)備制造商打造安全的物聯(lián)網(wǎng)設(shè)備。開發(fā)新設(shè)備時(shí),供應(yīng)商應(yīng)該考慮采納以下五項(xiàng)基本原則:

·針對(duì)物聯(lián)網(wǎng)設(shè)備的強(qiáng)大信任模式,例如,通過SSL執(zhí)行設(shè)備身份認(rèn)證

·保護(hù)對(duì)于物聯(lián)網(wǎng)設(shè)備至關(guān)重要的代碼,例如,數(shù)字代碼簽名

·對(duì)物聯(lián)網(wǎng)設(shè)備執(zhí)行高效、基于主機(jī)的保護(hù)功能,例如,端點(diǎn)保護(hù)和系統(tǒng)加固功能

·對(duì)物聯(lián)網(wǎng)設(shè)備執(zhí)行安全、有效的管理,例如,配置和無線更新

·開展安全分析以應(yīng)對(duì)新型高級(jí)威脅,例如,異常檢測(cè)功能

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)