據科技博客Re/code報導,惠普的Fortify應用程式安全部門對市面上最熱門的10款消費級智慧家居產品進行了研究分析,共發現250種安全性漏洞。注意是“種”不是“個”,每款產品的漏洞個數顯然會更多。
或許是迫於壓力,惠普並沒有公佈被調查的產品品牌,而只說了它們的種類:它們來自“電視、網路攝影機、家用恒溫器、遠端電源插座、灑水車控制器、多設備控制中樞器、門鎖、家庭警報器、磅秤和車庫開門器的製造商”。
以下是惠普的智慧家居設備研究報告的部分內容:
1. 有8款設備對設備本身或者相應網站要求的密碼強度低於“1234”。
2. 有7款設備在與互聯網或者本地網路進行通訊的時候沒有進行加密。
3. 有6款設備介面存在安全性漏洞,容易受到持續的跨網站腳本攻擊。
4. 有6款設備在軟體升級下載期間沒有加密。駭客可以借此偽造軟體更新,對設備重新程式設計,從而控制設備。
5. 10款設備中有9款至少收集過某種個人資訊:郵箱地址、家庭住址、姓名和出生日期。
此次研究惠普Fortify的研究人員讓那些智慧家居設備接受Fortify on Demand服務的檢測,該服務會對軟體的已知和潛在安全問題進行測試。研究方法沒有問題,問題在於為什麼會有這麼多漏洞?這些漏洞可能會造成哪些影響?
漏洞原因
惠普副總裁兼Fortify部門總經理邁克·阿米斯特德(Mike Armistead)認為,該行業的現狀是造成這些漏洞的原因:製造商都是著急推出產品搶佔市場,而沒有做產品的安全保護。
這是廠商的問題,還有系統上的問題。現在智慧家居設備所運行的系統是產品這些漏洞的客觀原因:這些設備通常都是運行Linux作業系統的精簡版本,所以常見於運行Linux的伺服器或PC上的基本漏洞它們都會有。
是否嚴重
當系統本身容易產生漏洞,並且設備製造商並沒有像對待傳統電腦那樣花功夫去加強安全保護時,問題就變得比較嚴重了:既然有那麼多種漏洞,並且很多還是基本漏洞,是不是一款設備受到攻擊,設備間的重合漏洞會致使攻擊向其它設備蔓延?歷史上是有很多先例的,例如駭客通過攻擊取暖通風系統,盜取了超過7000萬人資訊的Target事件,似乎應該讓今天的智慧家居廠商感到問題的嚴重性。
市場研究公司Gartner估計,到2020年,個人智慧家居設備總裝機量將上漲至260億台。“對於駭客來說,那是巨大的新攻擊目標。”但是,一者智慧家居市場產品還不夠成熟,二者使用者對於資訊安全的意識普遍薄弱,可以想像智慧家居產品的安全性,也不容樂觀。
0 comments:
張貼留言