最熱門的10款消費級智能家具共被曝250種安全漏洞
責(zé)編:admin |2014-08-05 15:33:41惠普的Fortify應(yīng)用程序安全部門對市面上最熱門的10款消費級智能家居產(chǎn)品進(jìn)行了研究分析,共發(fā)現(xiàn)250種安全漏洞。注意是“種”不是“個”,每款產(chǎn)品的漏洞個數(shù)顯然會更多。
或許是迫于壓力,惠普并沒有公布被調(diào)查的產(chǎn)品品牌,而只說了它們的種類:它們來自“電視、網(wǎng)絡(luò)攝像頭、家用恒溫器、遠(yuǎn)程電源插座、灑水車控制器、多設(shè)備控制中樞器、門鎖、家庭警報器、磅秤和車庫開門器的制造商”。
以下是惠普的智能家居設(shè)備研究報告的部分內(nèi)容:
有8款設(shè)備對設(shè)備本身或者相應(yīng)網(wǎng)站要求的密碼強(qiáng)度低于“1234”。
有7款設(shè)備在與互聯(lián)網(wǎng)或者本地網(wǎng)絡(luò)進(jìn)行通訊的時候沒有進(jìn)行加密。
有6款設(shè)備界面存在安全漏洞,容易受到持續(xù)的跨站點腳本攻擊。
有6款設(shè)備在軟件升級下載期間沒有加密。黑客可以借此偽造軟件更新,對設(shè)備重新編程,從而控制設(shè)備。
10款設(shè)備中有9款至少收集過某種個人信息:郵箱地址、家庭住址、姓名和出生日期。
此次研究惠普Fortify的研究人員讓那些智能家居設(shè)備接受Fortify on Demand服務(wù)的檢測,該服務(wù)會對軟件的已知和潛在安全問題進(jìn)行測試。研究方法沒有問題,問題在于為什么會有這么多漏洞?這些漏洞可能會造成哪些影響?
漏洞原因
惠普副總裁兼Fortify部門總經(jīng)理邁克·阿米斯特德(Mike Armistead)認(rèn)為,該行業(yè)的現(xiàn)狀是造成這些漏洞的原因:制造商都是著急推出產(chǎn)品搶占市場,而沒有做產(chǎn)品的安全保護(hù)。
這是廠商的問題,還有系統(tǒng)上的問題。現(xiàn)在智能家居設(shè)備所運(yùn)行的系統(tǒng)是產(chǎn)品這些漏洞的客觀原因:這些設(shè)備通常都是運(yùn)行Linux操作系統(tǒng)的精簡版本,所以常見于運(yùn)行Linux的服務(wù)器或PC上的基本漏洞它們都會有。
是否嚴(yán)重
當(dāng)系統(tǒng)本身容易產(chǎn)生漏洞,并且設(shè)備制造商并沒有像對待傳統(tǒng)計算機(jī)那樣花功夫去加強(qiáng)安全保護(hù)時,問題就變得比較嚴(yán)重了:既然有那么多種漏洞,并且很多還是基本漏洞,是不是一款設(shè)備受到攻擊,設(shè)備間的重合漏洞會致使攻擊向其它設(shè)備蔓延?歷史上是有很多先例的,例如黑客通過攻擊取暖通風(fēng)系統(tǒng),盜取了超過7000萬人信息的Target事件,似乎應(yīng)該讓今天的智能家居廠商感到問題的嚴(yán)重性。
市場研究公司Gartner估計,到2020年,個人智能家居設(shè)備總裝機(jī)量將上漲至260億臺。“對于黑客來說,那是巨大的新攻擊目標(biāo)。”但是,一者國內(nèi)智能家居產(chǎn)品還不夠成熟,二者國民對于信息安全的意識普遍薄弱,可以想象國內(nèi)智能家居產(chǎn)品的安全性,也不容樂觀。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!