警惕智慧家庭领域的物联网泄露家庭隐私
导读: 尽管公众对智慧家庭的认可度不断提升,最新的研究显示,物联网设备的“安全”问题似乎并未得到同样的重视,这使得消费者的隐私可能被泄露。近日,赛门铁克最近分析了50 款目前上市的智慧家庭设备,对其安全性进行了评估。
随着物联网(IoT)市场突飞猛进,所有的家电产品,现在几乎都推出了互联型号。据 Gartner 预测,到 2015 年消费者的智慧家庭环境中将存在 29 亿台互联的物联网设备。
但尽管公众对智慧家庭的认可度不断提升,最新的研究显示,物联网设备的“安全”问题似乎并未得到同样的重视,这使得消费者的隐私可能被泄露。近日,赛门铁克最近分析了50 款目前上市的智慧家庭设备,对其安全性进行了评估。
智慧家庭设备可能使用后端云服务来监控设备的使用情况,或支持用户远程控制这些系统。用户可以通过移动应用或 Web门户网站访问这些数据或控制设备。
我们的研究结果显示,许多设备和服务都存在一些基本的安全问题。
薄弱的身份认证机制
这些设备都没有使用相互身份认证功能或采用强密码。更糟糕的是,一些设备将身份认证密码限定为简单的四位PIN 码,使得用户无法在云接口上设置强密码。此外,这些设备还不支持双因素身份认证(2FA),并且无法应对密码暴力破解攻击,导致用户很容易成为攻击的目标。
Web漏洞
除了薄弱的身份认证机制外,许多智慧家庭Web接口还容易受到一些众所周知的Web应用漏洞的困扰。在对15个物联网云接口执行快速测试后,结果显示这些设备存在一些严重的漏洞,但此项测试只能检查表面问题。我们发现并报告了有关路径遍历、不受限制的文件上传(远程代码执行)、远程文件包含(RFI)和 SQL注入等十项漏洞。除了智能灯泡,涉及到的设备还包括智能门锁。我们可以通过互联网远程开门,甚至无需知道密码。
本地攻击
攻击者会通过侵入采用弱加密功能的Wi-Fi网络,攻击家庭网络,进而攻击用户的智能设备。我们发现,这些设备以明文方式本地传输密码或者根本不使用任何身份认证功能。物联网设备还存在一个共同的特点,即采用未签名的固件更新。此项安全功能的缺失会让攻击者能够轻易攻破家庭网络,破解物联网设备的密码。这些被盗的证书可用于执行其他命令,甚至还能通过恶意固件更新彻底控制设备。
潜在的攻击
到目前为止,我们还未发现大规模恶意软件瞄准智慧家庭设备,例如,路由器和网络连接存储设备等与电脑相关的设备。目前,提出的大多数物联网攻击只是概念验证,还没有使攻击者产生任何利润。但这并不意味着,未来当技术变得更加主流时,攻击者不会瞄准物联网设备。
回顾过去,如果攻击者的手段没有新意,我们就不会把他们太当回事,但实则相反,他们总能想到新的攻击方法。即使只是滥用技术、威胁用户或者攻击家庭网络,网络犯罪分子总能够随时准备并热衷于进攻任何目标。
- 海尔研发智慧家庭操作系统 破局物联网安全难题 2017-09-20
- 海尔发布物联网行业智慧家庭解决方案 助力企业快速转型 2017-04-10
- 海尔智慧家庭触发场景革命 引领物联网未来 2017-03-25
- 物联网时代 海尔的智慧家庭到底有多牛? 2017-03-14
- 华为物联网:OpenLife智慧家庭解决方案 2017-01-16
图片新闻
- 即日-5.15 【有奖问答】 NI半导体测试应用有奖问答 立即参加>>
- 5月17日 2018消费电子自动化测试研讨会昆山站 参会有礼 >>
- 5月30日 OFweek2018中国高科技产业投融资论坛暨项目路演会 立即报名>>
- 8.30-9.1 OFweek(第二届)中国人工智能产业大会 抢免费票>>
- 8.30-9.1 OFweek 2018中国(上海)国际人工智能展览会 预登记 索免费门票>>
- 精彩回顾 【在线研讨会】2000家制造型企业调研大数据总结分享 查看回顾
- 物联网
- 猎头职位
- 视觉工程师广东省/深圳市
- 技术研发总监广东省/深圳市
- 高级电气工程师广东省/深圳市
- 封装工程师北京市/海淀区
- 光模块结构工程师(无锡)江苏省/无锡市
- 光模块光学工程师 (无锡)江苏省/无锡市
- 光器件物理工程师北京市/海淀区
- 销售总监(光器件)北京市/海淀区
- 电路设计工程师(金华市)浙江省/金华市
- 结构工程师(金华市)浙江省/金华市
我来说两句
请输入评论
请输入评论/评论长度6~500个字
暂无评论
暂无评论