兩個月前的HackPWN安全極客狂歡節(jié)上,無人機(jī)、烤箱、汽車、洗衣機(jī)、手環(huán)、電視、豆?jié){機(jī)、智能家居系統(tǒng)等多款智能設(shè)備因存在漏洞被破解。在剛剛結(jié)束的GeekPWN上又有多款產(chǎn)品被破解。
但仔細(xì)研究這一串破解名單后可以發(fā)現(xiàn),兩次破解的產(chǎn)品重合率很高,很多產(chǎn)品連續(xù)兩次被攻破。時隔兩個月,產(chǎn)品漏洞依舊,國內(nèi)廠商們的修補(bǔ)動作未免太慢了。
圖1:HackPwn與GeekPwn烤箱破解大撞車
破解項目撞車,只因仍未更新補(bǔ)丁
HackPwn與GeekPWN撞車的主要包括以下幾項:烤箱、海爾SmartCare智能家居、無人機(jī)等;其安卓手機(jī)的root方法,更是和上個月互聯(lián)網(wǎng)安全大會上的講解如出一轍。
那么問題來了,為何2個月前就被曝光的漏洞,至今仍然存在?
HackPwn安全極客狂歡節(jié)舉辦期間,官網(wǎng)顯示:“我們嚴(yán)格保證對廠商負(fù)責(zé)任的信息披露。我們會配合獲勝選手共同在活動現(xiàn)場將詳細(xì)的技術(shù)信息提供給廠商代表;如未有廠商代表在場,我們將在活動結(jié)束后以郵件形式將詳細(xì)的技術(shù)信息提供給廠商。”
也就是說,在HackPwn大會舉辦后,這些廠商都已經(jīng)收到了漏洞細(xì)節(jié),但針對的補(bǔ)丁卻遲遲未到。這也導(dǎo)致兩個月后的GeekPwn上,相當(dāng)多的漏洞仍然能再次被拿來演示。
不見蹤影的補(bǔ)丁,無處安放的安全
多項漏洞延期修補(bǔ),這對用戶來說,卻幾乎是噩夢。遠(yuǎn)程控制烤箱自動啟動、關(guān)閉SmartCare監(jiān)視功能、獲取無人機(jī)控制權(quán),這一幕幕幾乎是HackPwn的重演,但帶來的震撼與反思卻絲毫未減。
倘若這些漏洞被不法分子掌握,完全可以引爆烤箱、入室行竊、拐走無人機(jī)。而諷刺的是,這些產(chǎn)品的廠商早已獲悉問題癥結(jié),但卻依然放任自流,沒有補(bǔ)丁、沒有公告、甚至連簡單的提醒都沒有,全然置用戶的安全于不顧。
國內(nèi)廠商們的安全意識去哪兒了?
漏洞修補(bǔ)的遲緩,反映出國內(nèi)軟硬件廠商的通病——安全意識淡薄。問題沒發(fā)生時鼓吹安全性能,出了事便推諉扯皮,近期曝光的某郵箱泄露事件就是一個極佳的縮影。
類似事件還有很多:HackPwn大會時,比亞迪等汽車廠商臨時關(guān)閉云服務(wù)試圖逃避大會攻破,卻遲遲不對漏洞進(jìn)行修補(bǔ);面對烏云的漏洞報告,小米手機(jī)顧左右而言他,刻意淡化安全問題……業(yè)內(nèi)人士表示,目前國內(nèi)大多數(shù)軟件、智能硬件廠商都沒有專門的安全響應(yīng)機(jī)制,漏洞響應(yīng)速度慢。
相形之下,國際巨頭們的安全措施十分值得效仿:Google建立安全專家團(tuán)隊,并高額懸賞旗下產(chǎn)品漏洞;微軟成立安全響應(yīng)團(tuán)隊并建立了科學(xué)的安全工程方法流程SDL( Security Development Lifecycle),從安全的角度指導(dǎo)整個軟件開發(fā)流程。雖然這些大公司也時常被曝出高危漏洞,但及時的補(bǔ)丁更新,為用戶的安全提供了保障。