随着物联网(IoT)市场突飞猛进,所有的家电产品,现在几乎都推出了互联型号。据Gartner预测,到2015年消费者的智慧家庭环境中将存在29亿台互联的物联网设备。
但尽管公众对智慧家庭的认可度不断提升,最新的研究显示,物联网设备的“安全”问题似乎并未得到同样的重视,这使得消费者的隐私可能被泄露。近日,赛门铁克最近分析了50款目前上市的智慧家庭设备,对其安全性进行了评估。
互联家庭情况
在本次研究中,赛门铁克分析了以下类别的物联网设备:
•智能温控器
•智能门锁
•智能灯泡
•智能烟雾探测器
•智能能源管理设备
•智能集线器
我们的研究结果也适用于其他物联网设备和智慧家庭产品,如:
•安全警报
•监控IP摄像头
•娱乐系统(智能电视和电视机顶盒等)
•宽带路由器
•网络连接存储(NAS)设备
智慧家庭设备可能使用后端云服务来监控设备的使用情况,或支持用户远程控制这些系统。用户可以通过移动应用或Web门户网站访问这些数据或控制设备。
我们的研究结果显示,许多设备和服务都存在一些基本的安全问题。
薄弱的身份认证机制
这些设备都没有使用相互身份认证功能或采用强密码。更糟糕的是,一些设备将身份认证密码限定为简单的四位PIN码,使得用户无法在云接口上设置强密码。此外,这些设备还不支持双因素身份认证(2FA),并且无法应对密码暴力破解攻击,导致用户很容易成为攻击的目标。
Web 洞
除了薄弱的身份认证机制外,许多智慧家庭Web接口还容易受到一些众所周知的Web应用 洞的困扰。在对15个物联网云接口执行快速测试后,结果显示这些设备存在一些严重的 洞,但此项测试只能检查表面问题。我们发现并报告了有关路径遍历、不受限制的文件上传(远程代码执行)、远程文件包含(RFI)和SQL注入等十项 洞。除了智能灯泡,涉及到的设备还包括智能门锁。我们可以通过互联网远程开门,甚至无需知道密码。
本地攻击
攻击者会通过侵入采用弱加密功能的Wi-Fi网络,攻击家庭网络,进而攻击用户的智能设备。我们发现,这些设备以明文方式本地传输密码或者根本不使用任何身份认证功能。物联网设备还存在一个共同的特点,即采用未签名的固件更新。此项安全功能的缺失会让攻击者能够轻易攻破家庭网络,破解物联网设备的密码。这些被盗的证书可用于执行其他命令,甚至还能通过恶意固件更新彻底控制设备。
潜在的攻击
到目前为止,我们还未发现大规模恶意软件瞄准智慧家庭设备,例如,路由器和网络连接存储设备等与电脑相关的设备。目前,提出的大多数物联网攻击只是概念验证,还没有使攻击者产生任何利润。但这并不意味着,未来当技术变得更加主流时,攻击者不会瞄准物联网设备。
回顾过去,如果攻击者的手段没有新意,我们就不会把他们太当回事,但实则相反,他们总能想到新的攻击方法。即使只是滥用技术、威胁用户或者攻击家庭网络,网络犯罪分子总能够随时准备并热衷于进攻任何目标。
所以不要过早的满足于新型智慧家庭自动化项目,需要花点时间想想这些便利的设备会如何暴露您的信息和家庭网络,进而使它们受到网络攻击。这就要求各大制造商生产安全性更高的智慧家庭设备和物联网设备,只有这样,安全问题才能够得到改善。
如果您想了解有关智慧家庭设备的更多分析和洞察,请参阅我们的白皮书。
应对方法
不幸的是,用户难以自行提高物联网设备的安全性,这是因为大多数设备不提供安全的操作模式。尽管如此,用户还应坚持采纳以下建议,确保降低其受到攻击的风险:
•在设备账户和Wi-Fi网络上采用独特的强密码
•更改默认密码
•设置Wi-Fi网络时,使用安全性更高的加密方法,如WPA2
•没有必要时,关闭或保护物联网设备的远程访问功能
•如果可以,请使用有线连接,而不是无线连接
•如果可以,将设备连接到独立的家庭网络中
•购买二手物联网设备时要十分小心,这是因为这些设备可能已被篡改
•研究供应商提供的设备安全保护措施
•根据您的需要,修改设备的隐私和安全设置
•禁用多余的功能
•安装最新更新
•确保像干扰或网络故障等造成的停机不会导致不安全的安装状态
•确认是否要使用智能功能,或者普通设备是否能够满足要求
作为安全行业的领军企业,赛门铁克致力于帮助各大物联网设备制造商打造安全的物联网设备。开发新设备时,供应商应该考虑采纳以下五项基本原则:
•针对物联网设备的强大信任模式,例如,通过SSL执行设备身份认证
•保护对于物联网设备至关重要的代码,例如,数字代码签名
•对物联网设备执行高效、基于主机的保护功能,例如,端点保护和系统加固功能
•对物联网设备执行安全、有效的管理,例如,配置和无线更新
•开展安全分析以应对新型高级威胁,例如,异常检测功能