技術(shù)
導(dǎo)讀:19.5%的智能攝像機(jī)存在上述常見安全漏洞,是三類設(shè)備中最“危險(xiǎn)”的IoT設(shè)備。而在智能攝像機(jī)存在的漏洞中,遠(yuǎn)程弱口令漏洞占比最高,為91.7%。這一漏洞發(fā)生在智能攝像頭上,可能導(dǎo)致攝像頭變“偷窺狂”,泄露用戶隱私。
智能設(shè)備正在成為新的安全威脅,一份研究報(bào)告指出,如果不采取有效措施,智能設(shè)備的安全漏洞將會(huì)以每年超過(guò)20%的速度增長(zhǎng)。
11月27日,360安全大腦發(fā)布了國(guó)內(nèi)首個(gè)智能設(shè)備安全報(bào)告,這份名為《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報(bào)告》從智能攝像機(jī)、電視盒子、智能打印機(jī)等家庭及辦公場(chǎng)景下最常見的IoT設(shè)備入手,進(jìn)行了50余個(gè)品牌近200種不同機(jī)型產(chǎn)品的抽樣檢測(cè)與分析,并圍繞廠商安全服務(wù)水平、用戶安全意識(shí)、IoT安全趨勢(shì)等維度,系統(tǒng)分析了典型IoT設(shè)備的安全問(wèn)題。
報(bào)告顯示了嚴(yán)峻的IoT安全現(xiàn)狀,指出一些常見漏洞可輕易導(dǎo)致IoT設(shè)備喪失控制權(quán),任人擺布。這些與用戶“朝夕相處”的IoT設(shè)備將帶來(lái)更嚴(yán)重的安全威脅,而智能攝像頭首當(dāng)其沖,成為“最不安全”的智能設(shè)備。
此外。報(bào)告還預(yù)計(jì),如果不采取有效措施提高IoT設(shè)備安全性,2019年,與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長(zhǎng),安全形勢(shì)不容樂(lè)觀。
智能攝像頭最危險(xiǎn):近五分之一存在漏洞
該報(bào)告研究對(duì)象為IoT設(shè)備危害最大,也最為普遍的三大類安全漏洞:遠(yuǎn)程弱口令漏洞、預(yù)置后門漏洞和敏感信息泄露漏洞在不同智能設(shè)備上的分布情況。
檢測(cè)顯示,8.4%的受檢設(shè)備存在遠(yuǎn)程弱口令漏洞,是影響最廣泛的漏洞,弱口令極易被破解,繼而導(dǎo)致設(shè)備喪失控制權(quán),危害后果嚴(yán)重。
目前的智能設(shè)備遠(yuǎn)程操作已經(jīng)是“標(biāo)配”,比如利用手機(jī)查看家中智能攝像機(jī)的畫面、網(wǎng)頁(yè)管理打印機(jī)等設(shè)備、上傳下載文件等。
所謂遠(yuǎn)程弱口令,即使用的遠(yuǎn)程服務(wù)只設(shè)置了簡(jiǎn)單密碼,比如admin、password、12345678等常見字母、數(shù)字組合,以及個(gè)人姓名、生日、電話號(hào)碼、身份證號(hào)等,。
報(bào)告顯示,19.5%的智能攝像機(jī)存在上述常見安全漏洞,是三類設(shè)備中最“危險(xiǎn)”的IoT設(shè)備。而在智能攝像機(jī)存在的漏洞中,遠(yuǎn)程弱口令漏洞占比最高,為91.7%。這一漏洞發(fā)生在智能攝像頭上,可能導(dǎo)致攝像頭變“偷窺狂”,泄露用戶隱私。
此外,智能打印機(jī)存在的漏洞中,遠(yuǎn)程弱口令漏洞占比最大,為95.8%。在企業(yè)的日常工作場(chǎng)景中,遠(yuǎn)程傳輸文件進(jìn)行打印是再熟悉不過(guò)的行為。如果打印機(jī)管理員疏于修改打印機(jī)出廠設(shè)置的遠(yuǎn)程服務(wù)弱口令,可能引發(fā)商業(yè)機(jī)密的泄露,帶來(lái)不可估量的損失。
在電視盒子暴露的漏洞中,敏感信息泄露漏洞占比高達(dá)92.7%,遠(yuǎn)超其他類型漏洞。該漏洞主要由敏感數(shù)據(jù)存儲(chǔ)未加密、采用明文傳輸?shù)仍驅(qū)е?。利用這些漏洞,攻擊者能遠(yuǎn)程查看用戶電視設(shè)備播放的節(jié)目列表、歷史記錄,甚至造成用戶的視頻網(wǎng)站賬號(hào)密碼泄露。
報(bào)告強(qiáng)調(diào),除這三大類漏洞外,不同的IoT設(shè)備中還存在更大比例的其他類漏洞,整體安全情況不容小覷。
用戶最擔(dān)憂隱私泄露、人身財(cái)產(chǎn)安全
360安全大腦對(duì)IoT設(shè)備用戶的調(diào)研顯示,提升生活便捷程度、享受科技體驗(yàn)、守護(hù)家庭安全為用戶購(gòu)買IoT設(shè)備的三大原因。但是,用戶對(duì)IoT設(shè)備的擔(dān)憂,也同樣來(lái)源于安全方面。
調(diào)研數(shù)據(jù)顯示,用戶對(duì)IoT設(shè)備最擔(dān)憂的安全問(wèn)題是隱私泄露及盜竊,其次是人身安全、支付安全、病毒攻擊和WIFI風(fēng)險(xiǎn)。用戶所擔(dān)心的這些方面,也是IoT設(shè)備目前被詬病最多的威脅。
根據(jù)調(diào)研,只有36.0%的網(wǎng)友表示,從未遭遇過(guò)IoT設(shè)備安全問(wèn)題。4.5%的用戶表示經(jīng)常被各種安全問(wèn)題轟炸,飽受叨擾;18.1%的用戶表示曾遭遇過(guò)安全問(wèn)題,雖然加強(qiáng)了防護(hù),但仍然防不勝防;另外高達(dá)40.1%的用戶表示,不知道是否曾遭遇過(guò)智能硬件安全問(wèn)題,但個(gè)人信息可能已經(jīng)被泄露了。
除了IoT設(shè)備本身的漏洞,用戶的忽視以及不安全使用,也是造成IoT設(shè)備安全問(wèn)題的重要因素。用戶的不安全使用行為包含不修改默認(rèn)密碼、設(shè)置弱密碼、不升級(jí)打補(bǔ)丁、安裝過(guò)多插件等。
密碼方面,用戶使用弱密碼或使用默認(rèn)密碼,是重要的安全隱患之一。360安全大腦通過(guò)對(duì)用戶的調(diào)研顯示,61.7%的用戶會(huì)修改密碼并設(shè)置高防護(hù)密碼,而30.5%的用戶會(huì)使用弱密碼,還有6.8%的用戶根本不去修改密碼。
定期升級(jí)系統(tǒng)或給漏洞打補(bǔ)丁,是確保IoT設(shè)備安全性的重要舉措。360安全大腦對(duì)用戶的調(diào)研顯示,大部分用戶會(huì)及時(shí)升級(jí)、打補(bǔ)丁,分別占比49.3%和63.0%;0.9%的用戶不去修補(bǔ)漏洞,7.5%的用戶不去升級(jí)網(wǎng)絡(luò)端口;其余則是大部分會(huì)、偶爾會(huì)。也就是說(shuō),用戶的安全意識(shí)仍然不夠高。
廠商是第一責(zé)任人,三成廠商不考慮安全問(wèn)題
廠商是守衛(wèi)IoT安全的第一道關(guān)口,其能否為IoT設(shè)備設(shè)置安全模塊、高強(qiáng)度的出廠密碼,及時(shí)修復(fù)漏洞,都關(guān)系著IoT設(shè)備的安全。
然而,報(bào)告通過(guò)對(duì)流行IoT設(shè)備制造商的抽樣調(diào)查發(fā)現(xiàn),有66.7%的廠商會(huì)為部分IoT產(chǎn)品設(shè)置安全模塊,另有33.3%的廠商則在設(shè)計(jì)IoT產(chǎn)品時(shí)完全不考慮安全問(wèn)題,不設(shè)置安全模塊。這種情況在中小廠商和初創(chuàng)廠商中更為普遍。
此外,廠商能否為IoT設(shè)備設(shè)置高強(qiáng)度的出廠密碼,關(guān)乎IoT設(shè)備安全。360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示,在進(jìn)行抽樣調(diào)查的IoT設(shè)備中,出廠設(shè)置弱密碼的設(shè)備數(shù)量占比高達(dá)64.4%,存在較高的被暴力破解風(fēng)險(xiǎn),危及用戶隱私。
約三分之二的廠商,未能在接到第三方報(bào)告后,三個(gè)月內(nèi)修復(fù)系統(tǒng)漏洞。除安全意識(shí)不足的因素外,在IoT行業(yè),很多廠商由硬件廠商轉(zhuǎn)型而來(lái),其軟件和安全技術(shù)相對(duì)欠成熟,這也可能帶來(lái)“不修復(fù)或延遲修復(fù)”情況。
對(duì)此,360安全大腦給出6項(xiàng)安全建議:產(chǎn)品上市前應(yīng)與專業(yè)安全產(chǎn)商、安全機(jī)構(gòu)合作,進(jìn)行充分的安全檢測(cè);建立和健全產(chǎn)品更新機(jī)制,產(chǎn)品投入市場(chǎng)后定期更新維護(hù)產(chǎn)品,提供完備的用戶服務(wù);產(chǎn)品在設(shè)計(jì)時(shí),就應(yīng)置入安全模塊,在整體產(chǎn)品設(shè)計(jì)架構(gòu)中充分考慮安全性;使用開源軟件開發(fā)的系統(tǒng),應(yīng)該在使用之前進(jìn)行源代碼安全檢測(cè);密切關(guān)注CNVD、補(bǔ)天等第三方漏洞平臺(tái)的安全通報(bào),第一時(shí)間發(fā)現(xiàn)相關(guān)安全漏洞并修復(fù);產(chǎn)品設(shè)計(jì)弱口令修改提醒功能,向用戶警示安全風(fēng)險(xiǎn),督促用戶盡快修改初始密碼。
2019年IoT設(shè)備相關(guān)漏洞增長(zhǎng)率逾28% ,遠(yuǎn)超整體漏洞增長(zhǎng)率
美國(guó)國(guó)家信息安全漏洞庫(kù)披露的近5年的漏洞數(shù)據(jù)顯示,與IoT設(shè)備相關(guān)的漏洞增長(zhǎng)率遠(yuǎn)高于漏洞整體增長(zhǎng)率。
以2017年為例,全網(wǎng)安全漏洞增長(zhǎng)率為18.3%,但I(xiàn)oT設(shè)備的漏洞增長(zhǎng)率高達(dá)33%,高于全網(wǎng)漏洞增長(zhǎng)率14.7%。
360安全大腦根據(jù)2017年與2018年的數(shù)據(jù)保守預(yù)測(cè),如果不采取有效措施提高IoT設(shè)備安全性,2019年,與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長(zhǎng),安全形勢(shì)不容樂(lè)觀。
近些年,IoT安全事件頻發(fā)。
2016年10月發(fā)生的美國(guó)斷網(wǎng)事件,實(shí)際上就是由一個(gè)名為Mirai的僵尸網(wǎng)絡(luò)控制全球89萬(wàn)個(gè)IoT設(shè)備(主要是智能攝像機(jī)),對(duì)美國(guó)DNS解析服務(wù)商Dyn發(fā)動(dòng)DDoS攻擊所引起的。這一事件大大改變了人們對(duì)IoT安全的認(rèn)知:物聯(lián)網(wǎng)設(shè)備、智能家居的安全漏洞原來(lái)不僅僅是會(huì)威脅個(gè)人隱私,只要數(shù)量足夠多,也會(huì)威脅國(guó)家安全。
2017年3月,Spiral Toys旗下的CloudPets系列動(dòng)物填充玩具遭遇數(shù)據(jù)泄露,涉及玩具錄音、MongoDB泄露的數(shù)據(jù)、220萬(wàn)賬戶語(yǔ)音信息等;今年8月,美敦力公司(Medtronic)心臟起搏器被曝出安全漏洞,攻擊者可以遠(yuǎn)程操控心臟起搏器,直接危及使用者生命安全。
不僅如此,自2017年下半年以來(lái),挖礦木馬的流行也擴(kuò)散到了IoT領(lǐng)域,大量的IoT設(shè)備被黑客批量掃描控制,進(jìn)行挖礦活動(dòng)。只要聯(lián)網(wǎng)的IoT設(shè)備存在遠(yuǎn)程漏洞,都有可能被攻擊者所控制。而如智能電視、電視盒子等網(wǎng)絡(luò)設(shè)備的安全漏洞,也使攻擊者有可能通過(guò)遠(yuǎn)程攻擊竊取和監(jiān)控用戶上網(wǎng)信息,甚至盜取用戶上網(wǎng)帳號(hào)。
在此次報(bào)告發(fā)布的同時(shí),360也發(fā)布了 IoT安全生態(tài)守護(hù)計(jì)劃。據(jù)悉,360在IoT安全方面已有多年積累,具備IoT安全感知能力,能做到對(duì)漏洞監(jiān)測(cè)和預(yù)警。360愿意將IoT安全防御方面的經(jīng)驗(yàn)、數(shù)據(jù)、技術(shù)、能力開放出來(lái),與大家進(jìn)行合作,向生態(tài)廠商開放,攜手多方共同打造IoT安全生態(tài)。