2019年十大物联网安全事件

点击蓝字关注我们

未来很长一段时间,物联网安全威胁都将是最大的安全威胁之一,物联网安全支出在信息安全整体市场的占比也将快速提升,根据赛迪顾问《2019中国网络安全发展白皮书?#32602;?018年中国物联网安全市场规模达到 88.2 亿,增速高达 34.7%,明显高于行业平均增速。

回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球?#27573;?#20869;基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。

以下是 2019 年值得关注的十大物联网安全(系列)事件:

一、物联网设备的系统性安全缺陷和隐私风险

2019 年 1 月份,安全研究人员发现沃尔玛和百思买等大型零售商销售的热门联网或智能家居设备普遍存在?#29616;?#23433;全漏洞和隐私问题(上图)。?#22270;?#30340;12种不同的物联网设备均发现安全问题,包括缺少数据加密和缺少加密证书验证。这些设备包括来自不同制造商的智能相机、智能插头和安防产品,包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。这次安全 “体检” 为整个物联网行业敲响了警钟。

二、?#39057;?#20599;拍摄像头引发全民恐慌

2019 年,国内影响最大物联网安全事件非?#39057;?#20599;拍莫属。过去两年间?#39057;?#20599;拍事件层出不穷,从单体民宿、自如、Airbnb 到威斯汀?#39057;?#21644;皇冠假日?#39057;?#37117;不能幸免,甚至前合肥市公安局长都曾中招。对于有隐私洁癖的用户来说,几乎到了要背帐篷去?#39057;?#37326;营的地步了。

面对日益高涨的个人隐私保护需求,各路安全厂商和创业公司纷纷行动起来。

2018 年安全牛曾经报道过最早的一个?#39057;?#38450;偷拍开?#20174;?#20214;项目 Cyborg Unplug(开源地址:https://github.com/JulianOliver/CyborgUnplug),实际上是一个  VPN 路由器,能够扫描并踢掉同网段的偷拍摄像头。

除了爆火的 Ping 之外,百度安全 app 和 360 手机卫士都推出了 “偷拍检测” 功能,但是 APP 端检测的一个弊端是智能检测同?#38047;?#32593; (WiFi) 段的偷拍摄像头,对于独立联网和离线摄像头无能为力,并不能做到百分之百的?#31185;祝?#20805;其?#24656;?#33021;算是辅助措施,消费者需要对此有足够清醒的认识,必要的时候人肉排查+超轻双人帐篷依然是?#21344;?#26041;案。

三、震惊全美的Ring智能门铃和安防监控头丑闻

除了?#39057;輳?#23478;庭监控摄像头也不省心。2019 年末,亚马逊旗下的 Ring 的隐私问题和安全丑闻激增,并且仍在?#20013;?#21457;酵中。

作为全球最火的家庭安防硬件产品之一—— Ring 曝出安全漏洞,黑客可以监控用户家庭,而且 Ring ?#22815;?#26292;露用户的 WiFi 密码。大量用户?#31471;?#33258;己的私生活被黑客传到网上,甚至还有黑客通过 Ring 摄像头跟摇篮里的婴儿打招呼。

更糟糕的是,Ring 的隐私政策也成了众矢之的。Ring 承认与美国 600 多个警察部门合作,提供用户视频。11 月份一些美国?#25105;?#21592;要求亚马逊披露如何确保 Ring 家庭摄像头的安全性,以及都有谁可以访问这些录像。

四、安全漏洞迭出,智能门锁遭遇安全危机

研究人员在智能门锁 Smart Deadbolts 中发?#33267;?#19968;?#33267;?#34892;的智能锁漏洞,攻击者可以利用这些漏洞远程打开门并闯入房屋。智能锁的制造商 Hickory Hardware 已将补丁程序部署到了 Google Play 商店和 Apple App Store 上受影响的应用程序。这只是 2019 年众多智能门锁安全漏洞的冰山一角。

6 月,研究人员警告说,U-tec 制造的智能门锁 Ultraloq 出现?#25910;希?#25915;击者可以?#32439;?#35813;设备的使用地点并完全控制该锁。

7 月,两位安全研究人员发?#33267;?ZipaMicro 智能家居三个安全漏洞,如果把它们连接在一起就可能会被滥用,而结果就是导致用户家的智能门锁会被轻易打开。(下图)

国内方面,2018 年国内智能门锁品牌已超过 3500 个,2019 年市场规模?#22411;?#31361;破 200 亿元(是的,你没?#21019;恚?#19968;个小小的智能门锁价值堪比全国信息安全市场的半壁江山了)。虽然经历年初央视曝光 “小黑?#23567;薄PP 远程控制漏洞,但是国内智能门锁硬件、软件、云端等各个攻击面的安全问题并未得到更多用户的重视。相关的安全开发、安全测试检测(包括白帽子漏洞发掘)、技术标准和规范相对滞后。

一个比较亮眼的进步是 12 月 20 日腾讯发布了《腾讯智能门锁安全技术要求?#32602;?#20174;智能门锁的终端、通信及?#30772;教?#19977;个层面出发,阐述系统安全等十五项安全技术要求。《要求》中还构建了智能门锁安全等级体系,为?#30340;?#21378;商、机构和用户对智能门锁安全水平的测评提供了一整套操作流程标准。但是考虑?#25945;?#35759;也是智能家居和智能门锁市场中的 “玩家?#20445;商?#35759;制定的安全标准能否得到广大智能门锁厂商的认同和支持,目前还有待观察。

五、导致物联网设备大规模“变砖”的恶意软件

6 月份,一名 14 岁的黑客使用一种名为 Silex 的恶意软件来欺骗多达 4,000 个不安全的物联网设备,然后突然关闭了其命令和控?#21697;?#21153;器。Silex 将不安全的 IoT 设备作为攻击目标,使其?#34987;荊?#31867;似2017年的 BrickerBot 恶意软件一样)。Silex 专门针对运行 Linux 或 Unix 操作系统,采用默认或者已知密码的的物联网 (IoT) 设备,破坏设备的?#25490;?#20998;区,删除其防火墙和网络配置,并最?#24080;?#20854;完全 “变砖”。

六、200万物联网摄像头“裸奔”

联网摄像头是蓬勃发展的智慧城市的关键组件,同时其安全问题的严峻性也日益凸显。

今年 4 月份,安全研?#31354;?#25259;?#35835;?#21487;能是迄今最为?#29616;?#30340;物联网摄像头安全漏洞,受影响监控摄像头数量超过 200 万个,来自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多个摄像头厂商。

这些产品都使用了某国内厂商开发的名为 iLnkP2P 的 P2P 通讯组件。该组件包含两个漏洞,可能使远程黑客能够找到并接管设备中使用的易受攻击的摄像机并监视其所有者。

?#36865;猓?#19971;月物联网摄像?#20998;?#36896;商 Swann 修补了其联网摄像头中的一个漏洞,该漏洞使远程攻击者可以访问其视频源。9 月,多达 80 万个基于 IP 的?#31456;?#30005;视摄像机暴露在零?#31456;?#27934;攻击之下,该漏洞可能使黑客能够访问监视摄像机,监视和操纵视频源或植入恶意软件。

参考报告:安全牛网站2018年摄像头安全报告

七、智能玩具不再“好玩”

联网智能玩具仍然不安全。去年 12 月,安全研究人员发现,各种儿童专用的联网玩具存在很多先天性的安全问题,例如缺少设备配对的身份验证,以及联网帐户缺乏加密。在 2019 年美国黑帽大会上,研究人员展示了 LeapPad Ultimate 儿童教育平板电脑的安全检测结果,表示该平板电脑存在许多安全问题,包括?#24066;?#19981;良行为者跟踪设备,向孩子发送消息或发起中间人攻击。

Checkmarx 安全研究主管 Erez Yalon 告诉 Threatpost 说:

儿童智能产品制造商需要意识到目标受众没?#24184;尚模?#22825;真,更容易错过攻击的简单警告信号。?#36865;猓址?#38544;私权给儿童带来的后果可能是灾难性的。因此,一般来说,制造商需要采用最严格的标准。

LeapPad 平板电脑的一个应用程序 Pet Chat(宠物聊天)也存在安全问题。Pet Chat 应用程序创建一个 Wi-Fi Ad-Hoc 连接,并使用简单的 SSID “Pet Chat” 广播到附近的其他兼容设备。研究人员能?#30343;?#29992;名为 WiGLE 的工具——一个?#21344;?#19981;同无线热点信息的网站,在全球?#27573;?#20869;将位置?#25512;?#20182;信息存储在中央数据库中,以识别平板电脑。

这意味着 “任何人都可以使用 Pet Chat 通过在公共 Wi-Fi 上找到它们,或跟踪其设备的 MAC 地址来识别 LeapPads 的位置。

八、儿童智能手表安全问题爆发

与其他物联网和智能设备类似,儿童智能手表也存在先天性的安全缺陷,例如可以暴露儿童的位置数据和个人信息,从而为各种隐患制造伏?#30465;?/p>

2019 年因安全问题被曝光的智能手表产品包括中国的 M2 智能手表,该智能手表存在的缺陷可能会泄露用户的个人和 GPS 数据,并?#24066;?#25915;击者监听和操纵对话。?#36865;?#23433;全研究人员还发现 Smartwatch TicTocTrack 存在大量安全问题,这些问题使黑客能够跟踪和呼叫孩子。

更糟糕的是,与其他智能硬件产品类似,智能手表的安全缺陷很有可能是全行业的系统性风险。

九、智能音箱:大?#32570;?#27515;

在亚马逊、谷歌、阿里、百度等各路人工智能厂商数年风风火火的暖场演出后,2019年智能音箱市场终于迎来总爆发。

但在安全问题上,无论是特斯拉电动车还是智能音箱,一旦被信息安全界关注,终究难逃“大?#32570;?#27515;“的魔咒。

安全研究人员调查发现亚马逊、谷歌?#25512;还?#30340;智能音箱存在?#29616;?#30340;隐私?#22336;?#38382;题。一份安全报告甚至披露亚马逊雇?#35835;?#25968;千名审计员来收听Echo用户的语音记录。?#36824;?#30340;Siri和Google Home也由于类似的原因而受到抨击,有报道称Google员工可以识别和捕获家庭暴力或机密商务电话的声音。

提到智能音箱的监听问题,安全牛就不得不提一下 Bose 降噪耳机,这款企业高管和商务人?#31185;?#29233;的差旅神器,也曾因为窃听用户隐私被起诉,指控 Bose 一直在通过 Bose Connect 应用监视用户,并监听用户所有的对话和播放的内容。

总之,音响设备的安全问题和隐私威胁,往往比我们想象的更为可怕。

十、物联网僵尸网络野蛮生长

自从 2014 年从冰箱上发动首个物联网僵尸网络攻击后,臭名昭着的 Mirai IoT 物联网僵尸网络在 2016 年一战成名,通过创记录的 DDoS 攻击冲垮了包括 Twitter、Netflix 和 Github 等多家大型互联网站点,导致 “半个美国掉线?#20445;?#29978;至公?#24615;品?#21153;商 Akamai 也迫于 Mirai 的淫威停止了?#21592;?#26009;独立安全博客 KrebsonSecurity 的庇护。

当时,信息安全界和人权组织就曾指出趋势:物联网僵尸网络将取代集权国家成为互联网?#26376;?#30340;?#21344;?#23457;查者。基于物联网僵尸网络的超大规模 DDoS 攻击,已经展?#33267;?#33258;己在?#26376;?#23457;查方面的 “威权?#20445;?#24050;经远超任?#25105;?#20010;国家政府的审查能力。甚至在美国这样一个标榜?#26376;?#33258;由的国家,没有人能够保护 Krebs 这样一个享有盛誉的安全技术博?#27712;?/p>

2019 年,恐怖的 Mirai 僵尸网络继续保持高速增长,同时也改变了其 TTP(战术、技术和程序)。据研究人员分析,Mirai 的活动在 2018 年第一季度至 2019 年第一季度之间几乎翻了一番。安全分析人员指出,在过去的一年中,Mirai 扩展了其技术,以瞄?#20960;?#22810;的处理器和更多的企业级硬件。

相关阅读

 

4个月泄露2亿多条信息 这就是不安全的物联网

无处可藏:物联网带来的9?#20013;?#22411;黑客攻击

免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,?#21592;?#25991;以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或?#20449;擔?#35831;读者仅作参考,并自行核?#36842;?#20851;内容。

http://image99.pinlue.com/thumb/img_jpg/kuIKKC9tNkAkUbVA3qweQDxkHFby9ACyPmhCmoicNRiaQqqUaMhk4lzKGRwnFJck0vEC97NiaeOTCxic17loialzHsw/0.jpeg
我要收藏
赞一个
踩一下
分享到
相关推荐
精选文章
?
高速公路之王电子游艺
世界杯比分结果 山东11选5遗漏 足球彩票比分直播 豪利棋牌捕鱼官方下载 湖北11选5遗漏一 全球股票指数代码 吉林11选5走势图同步 850棋牌游戏下载? 青海十一选开奖结果 神龙碎片 黑龙江36选7开奖号 在网上如何赚钱 北京麻将 7星彩走势图表 海南麻将群 36选7复式对奖