智慧家居 (IoT) 安全性成疑

方便和安全是一體兩面的。IoT (Internet of Things) 在將家居電器智慧化的同時,也帶來了網路安全的問題。有系統安全產品廠商就在電視機、遙控電源插座、門鎖等十大最常見的 IoT 產品中,發現了多達 250 種安全缺陷。20140822iot

HP 旗下的系統安全產品廠商 Fortify 的研究人員經過三週時間,在十大類最常見的 IoT 產品(電視機、網路鏡頭、家用恆溫器、遙控電源插座、灑水器控制器、多設備控制中樞器、門鎖、家庭警報器、磅秤和車庫門遙控開關)中,發現了總共 250 種安全缺陷,其中包括個人隱資料外洩、不對傳輸的資料進行加密、Web 界面缺陷、不安全的韌體升級機制、虛弱的身份認證機制等。由於 IoT 產品都連接到某種雲端服務和移動應用程式,讓用戶能遠端控制它們,也間接令入侵者有機可乘。

研究人員在報告中寫道,在10款提供使用者界面的設備中,6款存在一系列問題,例如跨網站腳本的缺陷,和脆弱的身份認證機制。7成設備使用非加密的網路服務,使它們與雲端服務、移動應用程式的連接過程中,容易遭受中間人攻擊。8成設備沒有使用足夠長和複雜的密碼。研究人員能利用強度很低的密碼如 1234 或123456 登入大多數設備。研究人員說,入侵者能夠利用低強度的密碼、不安全的密碼恢復機制、虛弱的身份認證機制等缺陷,獲得設備存取權限。6成設備下載韌體時沒有使用加密技術,意味著入侵者可製作出假的新韌體,欺騙設備進行升級。10款設備中有9款至少收集過某種個人資料如郵箱地址、家庭住址、姓名和出生日期。

為什麼會有這麼多漏洞?Fortify 部門總經理 Mike Armistead 認為,行業的現狀是造成這些漏洞的原因。製造商都是著急推出產品搶佔市場,而沒有做產品的安全保護。大部分設備使用的是 Linux,但廠商卻因為減少韌體的體積,將 Linux 盡量簡化,修正檔的安裝不夠徹底,為入侵者帶來機會。由於不少 Linux 也會在伺服器或 PC 上使用,入侵者便可尋找一些伺服器或 PC 的 Linux 版本上出現過的漏洞,然後看看開發人員有沒有在 IoT 設備上修補。沒有的話他們便可將之利用來入侵設備。Linux 一向以安全見稱,但安全的基石是建立在系統是否經常更新之上的,如果開發者或系統維護者未能嚴守這法則,再安全的系統也有被攻破的可能。

你可能有興趣的內容

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *