智能設(shè)備正在成為新的安全威脅��,一份研究報(bào)告指出��,如果不采取有效措施��,智能設(shè)備的安全漏洞將會(huì)以每年超過20%的速度增長(zhǎng)����。
11月27日����,360安全大腦發(fā)布了國(guó)內(nèi)首個(gè)智能設(shè)備安全報(bào)告���,這份名為《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報(bào)告》從智能攝像機(jī)�、電視盒子����、智能打印機(jī)等家庭及辦公場(chǎng)景下最常見的IoT設(shè)備入手,進(jìn)行了50余個(gè)品牌近200種不同機(jī)型產(chǎn)品的抽樣檢測(cè)與分析���,并圍繞廠商安全服務(wù)水平�����、用戶安全意識(shí)��、IoT安全趨勢(shì)等維度�����,系統(tǒng)分析了典型IoT設(shè)備的安全問題���。
報(bào)告顯示了嚴(yán)峻的IoT安全現(xiàn)狀,指出一些常見漏洞可輕易導(dǎo)致IoT設(shè)備喪失控制權(quán)�����,任人擺布����。這些與用戶“朝夕相處”的IoT設(shè)備將帶來更嚴(yán)重的安全威脅,而智能攝像頭首當(dāng)其沖��,成為“最不安全”的智能設(shè)備���。
此外�。報(bào)告還預(yù)計(jì)���,如果不采取有效措施提高IoT設(shè)備安全性����,2019年���,與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長(zhǎng)��,安全形勢(shì)不容樂觀���。
智能攝像頭最危險(xiǎn):近五分之一存在漏洞
該報(bào)告研究對(duì)象為IoT設(shè)備危害最大�����,也最為普遍的三大類安全漏洞:遠(yuǎn)程弱口令漏洞����、預(yù)置后門漏洞和敏感信息泄露漏洞在不同智能設(shè)備上的分布情況�����。
檢測(cè)顯示�,8.4%的受檢設(shè)備存在遠(yuǎn)程弱口令漏洞,是影響最廣泛的漏洞���,弱口令極易被破解�����,繼而導(dǎo)致設(shè)備喪失控制權(quán)���,危害后果嚴(yán)重���。
目前的智能設(shè)備遠(yuǎn)程操作已經(jīng)是“標(biāo)配”���,比如利用手機(jī)查看家中智能攝像機(jī)的畫面��、網(wǎng)頁管理打印機(jī)等設(shè)備����、上傳下載文件等���。
所謂遠(yuǎn)程弱口令��,即使用的遠(yuǎn)程服務(wù)只設(shè)置了簡(jiǎn)單密碼���,比如admin、password���、12345678等常見字母����、數(shù)字組合,以及個(gè)人姓名��、生日���、電話號(hào)碼��、身份證號(hào)等���,。
報(bào)告顯示���,19.5%的智能攝像機(jī)存在上述常見安全漏洞�����,是三類設(shè)備中最“危險(xiǎn)”的IoT設(shè)備��。而在智能攝像機(jī)存在的漏洞中�,遠(yuǎn)程弱口令漏洞占比最高��,為91.7%��。這一漏洞發(fā)生在智能攝像頭上���,可能導(dǎo)致攝像頭變“偷窺狂”���,泄露用戶隱私����。
此外�����,智能打印機(jī)存在的漏洞中�����,遠(yuǎn)程弱口令漏洞占比最大�,為95.8%���。在企業(yè)的日常工作場(chǎng)景中��,遠(yuǎn)程傳輸文件進(jìn)行打印是再熟悉不過的行為���。如果打印機(jī)管理員疏于修改打印機(jī)出廠設(shè)置的遠(yuǎn)程服務(wù)弱口令,可能引發(fā)商業(yè)機(jī)密的泄露���,帶來不可估量的損失���。
在電視盒子暴露的漏洞中��,敏感信息泄露漏洞占比高達(dá)92.7%��,遠(yuǎn)超其他類型漏洞��。該漏洞主要由敏感數(shù)據(jù)存儲(chǔ)未加密���、采用明文傳輸?shù)仍驅(qū)е隆@眠@些漏洞���,攻擊者能遠(yuǎn)程查看用戶電視設(shè)備播放的節(jié)目列表����、歷史記錄����,甚至造成用戶的視頻網(wǎng)站賬號(hào)密碼泄露。
報(bào)告強(qiáng)調(diào)����,除這三大類漏洞外���,不同的IoT設(shè)備中還存在更大比例的其他類漏洞,整體安全情況不容小覷����。
用戶最擔(dān)憂隱私泄露、人身財(cái)產(chǎn)安全
360安全大腦對(duì)IoT設(shè)備用戶的調(diào)研顯示�����,提升生活便捷程度����、享受科技體驗(yàn)��、守護(hù)家庭安全為用戶購(gòu)買IoT設(shè)備的三大原因��。但是���,用戶對(duì)IoT設(shè)備的擔(dān)憂���,也同樣來源于安全方面。
調(diào)研數(shù)據(jù)顯示���,用戶對(duì)IoT設(shè)備最擔(dān)憂的安全問題是隱私泄露及盜竊���,其次是人身安全����、支付安全����、病毒攻擊和WIFI風(fēng)險(xiǎn)。用戶所擔(dān)心的這些方面���,也是IoT設(shè)備目前被詬病最多的威脅��。
根據(jù)調(diào)研���,只有36.0%的網(wǎng)友表示,從未遭遇過IoT設(shè)備安全問題����。4.5%的用戶表示經(jīng)常被各種安全問題轟炸,飽受叨擾;18.1%的用戶表示曾遭遇過安全問題���,雖然加強(qiáng)了防護(hù)�����,但仍然防不勝防;另外高達(dá)40.1%的用戶表示����,不知道是否曾遭遇過智能硬件安全問題,但個(gè)人信息可能已經(jīng)被泄露了�����。
除了IoT設(shè)備本身的漏洞���,用戶的忽視以及不安全使用���,也是造成IoT設(shè)備安全問題的重要因素��。用戶的不安全使用行為包含不修改默認(rèn)密碼���、設(shè)置弱密碼�����、不升級(jí)打補(bǔ)丁�、安裝過多插件等。
密碼方面���,用戶使用弱密碼或使用默認(rèn)密碼��,是重要的安全隱患之一��。360安全大腦通過對(duì)用戶的調(diào)研顯示����,61.7%的用戶會(huì)修改密碼并設(shè)置高防護(hù)密碼����,而30.5%的用戶會(huì)使用弱密碼,還有6.8%的用戶根本不去修改密碼��。
定期升級(jí)系統(tǒng)或給漏洞打補(bǔ)丁�����,是確保IoT設(shè)備安全性的重要舉措��。360安全大腦對(duì)用戶的調(diào)研顯示�����,大部分用戶會(huì)及時(shí)升級(jí)、打補(bǔ)丁���,分別占比49.3%和63.0%;0.9%的用戶不去修補(bǔ)漏洞�,7.5%的用戶不去升級(jí)網(wǎng)絡(luò)端口;其余則是大部分會(huì)��、偶爾會(huì)����。也就是說,用戶的安全意識(shí)仍然不夠高����。
廠商是第一責(zé)任人,三成廠商不考慮安全問題
廠商是守衛(wèi)IoT安全的第一道關(guān)口��,其能否為IoT設(shè)備設(shè)置安全模塊�����、高強(qiáng)度的出廠密碼���,及時(shí)修復(fù)漏洞,都關(guān)系著IoT設(shè)備的安全。
然而�,報(bào)告通過對(duì)流行IoT設(shè)備制造商的抽樣調(diào)查發(fā)現(xiàn),有66.7%的廠商會(huì)為部分IoT產(chǎn)品設(shè)置安全模塊����,另有33.3%的廠商則在設(shè)計(jì)IoT產(chǎn)品時(shí)完全不考慮安全問題,不設(shè)置安全模塊����。這種情況在中小廠商和初創(chuàng)廠商中更為普遍。
此外���,廠商能否為IoT設(shè)備設(shè)置高強(qiáng)度的出廠密碼��,關(guān)乎IoT設(shè)備安全�����。360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示�,在進(jìn)行抽樣調(diào)查的IoT設(shè)備中����,出廠設(shè)置弱密碼的設(shè)備數(shù)量占比高達(dá)64.4%,存在較高的被暴力破解風(fēng)險(xiǎn)���,危及用戶隱私��。
約三分之二的廠商���,未能在接到第三方報(bào)告后��,三個(gè)月內(nèi)修復(fù)系統(tǒng)漏洞���。除安全意識(shí)不足的因素外,在IoT行業(yè)���,很多廠商由硬件廠商轉(zhuǎn)型而來����,其軟件和安全技術(shù)相對(duì)欠成熟���,這也可能帶來“不修復(fù)或延遲修復(fù)”情況�。
對(duì)此����,360安全大腦給出6項(xiàng)安全建議:產(chǎn)品上市前應(yīng)與專業(yè)安全產(chǎn)商、安全機(jī)構(gòu)合作��,進(jìn)行充分的安全檢測(cè);建立和健全產(chǎn)品更新機(jī)制���,產(chǎn)品投入市場(chǎng)后定期更新維護(hù)產(chǎn)品�,提供完備的用戶服務(wù);產(chǎn)品在設(shè)計(jì)時(shí)���,就應(yīng)置入安全模塊��,在整體產(chǎn)品設(shè)計(jì)架構(gòu)中充分考慮安全性;使用開源軟件開發(fā)的系統(tǒng)����,應(yīng)該在使用之前進(jìn)行源代碼安全檢測(cè);密切關(guān)注CNVD����、補(bǔ)天等第三方漏洞平臺(tái)的安全通報(bào),第一時(shí)間發(fā)現(xiàn)相關(guān)安全漏洞并修復(fù);產(chǎn)品設(shè)計(jì)弱口令修改提醒功能�,向用戶警示安全風(fēng)險(xiǎn),督促用戶盡快修改初始密碼�����。
2019年IoT設(shè)備相關(guān)漏洞增長(zhǎng)率逾28% ��,遠(yuǎn)超整體漏洞增長(zhǎng)率
美國(guó)國(guó)家信息安全漏洞庫(kù)披露的近5年的漏洞數(shù)據(jù)顯示��,與IoT設(shè)備相關(guān)的漏洞增長(zhǎng)率遠(yuǎn)高于漏洞整體增長(zhǎng)率。
以2017年為例����,全網(wǎng)安全漏洞增長(zhǎng)率為18.3%,但I(xiàn)oT設(shè)備的漏洞增長(zhǎng)率高達(dá)33%�����,高于全網(wǎng)漏洞增長(zhǎng)率14.7%����。
360安全大腦根據(jù)2017年與2018年的數(shù)據(jù)保守預(yù)測(cè),如果不采取有效措施提高IoT設(shè)備安全性���,2019年���,與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長(zhǎng),安全形勢(shì)不容樂觀����。
近些年,IoT安全事件頻發(fā)��。
2016年10月發(fā)生的美國(guó)斷網(wǎng)事件��,實(shí)際上就是由一個(gè)名為Mirai的僵尸網(wǎng)絡(luò)控制全球89萬個(gè)IoT設(shè)備(主要是智能攝像機(jī)),對(duì)美國(guó)DNS解析服務(wù)商Dyn發(fā)動(dòng)DDoS攻擊所引起的���。這一事件大大改變了人們對(duì)IoT安全的認(rèn)知:物聯(lián)網(wǎng)設(shè)備、智能家居的安全漏洞原來不僅僅是會(huì)威脅個(gè)人隱私����,只要數(shù)量足夠多,也會(huì)威脅國(guó)家安全��。
2017年3月�,Spiral
Toys旗下的CloudPets系列動(dòng)物填充玩具遭遇數(shù)據(jù)泄露,涉及玩具錄音�、MongoDB泄露的數(shù)據(jù)�����、220萬賬戶語音信息等;今年8月���,美敦力公司(Medtronic)心臟起搏器被曝出安全漏洞,攻擊者可以遠(yuǎn)程操控心臟起搏器����,直接危及使用者生命安全�����。
不僅如此��,自2017年下半年以來�����,挖礦木馬的流行也擴(kuò)散到了IoT領(lǐng)域���,大量的IoT設(shè)備被黑客批量掃描控制,進(jìn)行挖礦活動(dòng)�����。只要聯(lián)網(wǎng)的IoT設(shè)備存在遠(yuǎn)程漏洞���,都有可能被攻擊者所控制���。而如智能電視、電視盒子等網(wǎng)絡(luò)設(shè)備的安全漏洞,也使攻擊者有可能通過遠(yuǎn)程攻擊竊取和監(jiān)控用戶上網(wǎng)信息��,甚至盜取用戶上網(wǎng)帳號(hào)�����。
在此次報(bào)告發(fā)布的同時(shí)���,360也發(fā)布了
IoT安全生態(tài)守護(hù)計(jì)劃。據(jù)悉�����,360在IoT安全方面已有多年積累���,具備IoT安全感知能力���,能做到對(duì)漏洞監(jiān)測(cè)和預(yù)警。360愿意將IoT安全防御方面的經(jīng)驗(yàn)��、數(shù)據(jù)����、技術(shù)、能力開放出來,與大家進(jìn)行合作����,向生態(tài)廠商開放,攜手多方共同打造IoT安全生態(tài)��。
