随着物联网(IoT)市场突飞猛进,所有的家电产品,现在几乎都推出了互联型号。据Gartner预测,到2015年消费者的智慧家庭环境中将存在29亿台互联的物联网设备。
但尽管公众对智慧家庭的认可度不断提升,最新的研究显示,物联网设备的“安全”问题似乎并未得到同样的重视,这使得消费者的隐私可能被泄露。近日,赛门铁克最近分析了50款目前上市的智慧家庭设备,对其安全性进行了评估。
互联家庭情况
在本次研究中,赛门铁克分析了以下类别的物联网设备:
* 智能温控器
* 智能门锁
* 智能灯泡
* 智能烟雾探测器
* 智能能源管理设备
* 智能集线器
我们的研究结果也适用于其他物联网设备和智慧家庭产品,如:
* 安全警报
* 监控 IP 摄像头
* 娱乐系统(智能电视和电视机顶盒等)
* 宽带路由器
* 网络连接存储(NAS)设备
智慧家庭设备可能使用后端云服务来监控设备的使用情况,或支持用户远程控制这些系统。用户可以通过移动应用或 Web门户网站访问这些数据或控制设备。
我们的研究结果显示,许多设备和服务都存在一些基本的安全问题。
薄弱的身份认证机制
这些设备都没有使用相互身份认证功能或采用强密码。更糟糕的是,一些设备将身份认证密码限定为简单的四位PIN 码,使得用户无法在云接口上设置强密码。此外,这些设备还不支持双因素身份认证(2FA),并且无法应对密码暴力破解攻击,导致用户很容易成为攻击的目标。
Web漏洞
除了薄弱的身份认证机制外,许多智慧家庭Web接口还容易受到一些众所周知的Web应用漏洞的困扰。在对15个物联网云接口执行快速测试后,结果显示这些设备存在一些严重的漏洞,但此项测试只能检查表面问题。我们发现并报告了有关路径遍历、不受限制的文件上传(远程代码执行)、远程文件包含(RFI)和 SQL注入等十项漏洞。除了智能灯泡,涉及到的设备还包括智能门锁。我们可以通过互联网远程开门,甚至无需知道密码。
本地攻击
攻击者会通过侵入采用弱加密功能的Wi-Fi网络,攻击家庭网络,进而攻击用户的智能设备。我们发现,这些设备以明文方式本地传输密码或者根本不使用任何身份认证功能。物联网设备还存在一个共同的特点,即采用未签名的固件更新。此项安全功能的缺失会让攻击者能够轻易攻破家庭网络,破解物联网设备的密码。这些被盗的证书可用于执行其他命令,甚至还能通过恶意固件更新彻底控制设备。
潜在的攻击
到目前为止,我们还未发现大规模恶意软件瞄准智慧家庭设备,例如,路由器和网络连接存储设备等与电脑相关的设备。目前,提出的大多数物联网攻击只是概念验证,还没有使攻击者产生任何利润。但这并不意味着,未来当技术变得更加主流时,攻击者不会瞄准物联网设备。
回顾过去,如果攻击者的手段没有新意,我们就不会把他们太当回事,但实则相反,他们总能想到新的攻击方法。即使只是滥用技术、威胁用户或者攻击家庭网络,网络犯罪分子总能够随时准备并热衷于进攻任何目标。
所以不要过早的满足于新型智慧家庭自动化项目,需要花点时间想想这些便利的设备会如何暴露您的信息和家庭网络,进而使它们受到网络攻击。这就要求各大制造商生产安全性更高的智慧家庭设备和物联网设备,只有这样,安全问题才能够得到改善。
如果您想了解有关智慧家庭设备的更多分析和洞察,请参阅我们的白皮书。
应对方法
不幸的是,用户难以自行提高物联网设备的安全性,这是因为大多数设备不提供安全的操作模式。尽管如此,用户还应坚持采纳以下建议,确保降低其受到攻击的风险: