8月1日消息,据国外媒体报道,对10款高人气的物联网设备进行的安全审查发现,它们存在的安全缺陷惊人地多。
惠普旗下Fortify部门的研究人员进行的这项研究持续了3周时间,涉及十大类最常见的物联网产品:电视机、网络摄像头、家用温控器、遥控电源插座、洒水器控制器、用于控制多种设备的控制器、门锁、家用报警器、磅秤和车库门遥控开关。
所有这些产品都连接到某种云服务和移动应用,使用户能远程控制它们。惠普研究人员发现了总共250个安全缺陷,其中包括隐私、不对传输的数据进行加密、Web界面缺陷、不安全的固件升级机制、虚弱的身份认证机制等。
研究人员在报告中写道,“在10款提供用户界面的设备中,6款存在一系列问题,例如跨站点脚本缺陷和虚弱的身份认证机制。”
7成设备使用非加密的网络服务,使得它们与云服务、移动应用的连接容易遭受中间人攻击。8成设备没有使用足够长和复杂的密码。研究人员能利用强度很低的密码——例如“1234”或“123456”,配置大多数设备。研究人员说,“黑客能够利用低强度的密码、不安全的密码恢复机制、虚弱的身份认证机制等缺陷,获得设备访问权限。”
6成设备下载固件升级包时没有使用加密技术。另外,升级包文件本身也没有任何保护机制,这意味着在下载过程中黑客可以篡改文件。
惠普研究人员表示,厂商应当根据开放Web应用程序安全项目提出的物联网设备十大安全问题清单对它们的产品进行安全评估。研究中发现的许多缺陷被认为是“容易实现的目标”,修正很方便,而且不会对用户体验产生影响。
今年针对家用路由器、网络附加存储设备、数字视频录像机和其他嵌入式系统进行攻击的事例非常多,表明黑客已经开始了解攻击这类设备的潜力,寻求通过攻击这些设备赚钱的途径。