2019年十大物联网安全事件盘点张艺兴整容前真吓人
导读
回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球范围内基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。
来源:SDNLAB
物联网智库整理发布
未来很长一段时间,物联网安全威胁都将是最大的安全威胁之一,物联网安全支出在信息安全整体市场的占比也将快速提升,根据赛迪顾问《2019中国网络安全发展白皮书》,2018年中国物联网安全市场规模达到 88.2 亿,增速高达 34.7%,明显高于行业平均增速。
回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球范围内基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。
以下是 2019 年值得关注的十大物联网安全(系列)事件:
一、物联网设备的系统性安全缺陷和隐私风险
2019 年 1 月份,安全研究人员发现沃尔玛和百思买等大型零售商销售的热门联网或智能家居设备普遍存在严重安全漏洞和隐私问题。送检的12种不同的物联网设备均发现安全问题,包括缺少数据加密和缺少加密证书验证。这些设备包括来自不同制造商的智能相机、
智能插头和安防产品,包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。这次安全“体检” 为整个物联网行业敲响了警钟。
二、酒店偷拍摄像头引发全民恐慌
2019 年,国内影响最大物联网安全事件非酒店偷拍莫属。过去两年间酒店偷拍事件层出不穷,从单体民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免,甚至前合肥市公安局长都曾中招。对于有隐私洁癖的用户来说,几乎到了要背帐篷去酒店野营的地步了。
高铁专业学费面对日益高涨的个人隐私保护需求,各路安全厂商和创业公司纷纷行动起来。除了爆火的 Ping 之外,百度安全 app 和 360 手机卫士都推出了“偷拍检测” 功能,但是 APP 端检测的一个弊端是智能检测同局域网 (WiFi) 段的偷拍摄像头,对于独立联网和离线摄像头无能为力,并不能做到百分之百的靠
谱,充其量只能算是辅助措施,消费者需要对此有足够清醒的认识,必要的时候人肉排查+超轻双人帐篷依然是终极方案。
三、震惊全美的Ring智能门铃和安防监控头丑闻
除了酒店,家庭监控摄像头也不省心。2019 年末,亚马逊旗下的 Ring 的隐私问题和安全丑闻激增,并且仍在持续发酵中。
类似凌天传说的小说作为全球最火的家庭安防硬件产品之一—— Ring 曝出安全漏洞,黑客可以监控用户家庭,而且 Ring 还会暴露用户的 WiFi 密码。大量用户投诉自己的私生活被黑客传到网上,甚至还有黑客通过 Ring 摄像头跟摇篮里的婴儿打招呼。签劳动合同注意事项
更糟糕的是,Ring 的隐私政策也成了众矢之的。Ring 承认与美国 600 多个警察部门合作,提供用户视频。11 月份一些美国参议员要求亚马逊披露如何确保 Ring 家庭摄像头的安全性,以及都有谁可以访问这些录像。
四、安全漏洞迭出,智能门锁遭遇安全危机
研究人员在智能门锁 Smart Deadbolts 中发现了一种流行的智能锁漏洞,攻击者可以利用这些漏洞远程打开门并闯入房屋。智能锁的制造商 Hickory Hardware 已将补丁程序部署到了 Google Play 商店和
Apple App Store 上受影响的应用程序。这只是 2019 年众多智能门锁安全漏洞的冰山一角。
6 月,研究人员警告说,U-tec 制造的智能门锁 Ultraloq 出现故障,攻击者可以追踪该设备的使用地点并完全控制该锁。
7 月,两位安全研究人员发现了 ZipaMicro 智能家居三个安全漏洞,如果把它们连接
在一起就可能会被滥用,而结果就是导致用户家的智能门锁会被轻易打开。(下图)国内方面,2018 年国内智能门锁品牌已超过 3500 个,2019 年市场规模有望突破 200 亿元(是的,你没看错,一个小小的智能门锁价值堪比全国信息安全市场的半壁江山了)。虽然经历年初央视曝光“小黑盒”、APP 远程控制漏洞,但是国内智能门锁硬件、软件、云端等各个攻击面的安全问题并未得到更多用户的重视。相关的安全开发、安全测试检测(包括白帽子漏洞发掘)、技术标准和规范相对滞后。
一个比较亮眼的进步是 12 月 20 日腾讯发布了《腾讯智能门锁安全技术要求》,从智能门锁的终端、通信及云平台三个层面出发,阐述系统安全等十五项安全技术要求。《要求》中还构建了智能门锁安全等级体系,为业内厂商、机构和用户对智能门锁安全水平的测评提供了一整套操作流程标准。但是考虑到腾讯也是智能家居和智能门锁市场中的“玩家”,由腾讯制定的安全标准能否得到广大智能门锁厂商的认同和支持,目前还有待观察。
五、导致物联网设备大规模“变砖”的恶意软件
6 月份,一名 14 岁的黑客使用一种名为 Silex 的恶意软件来欺骗多达 4,000 个不安全的物联网设备,然后突然关闭了其命令和控制服务器。Silex 将不安全的 IoT 设备作为攻击目标,使其瘫痪(类似2017年的 BrickerBot 恶意软件一样)。Silex 专门针对运行Linux 或 Unix 操作系统,采用默认或者已知密码的的物联网 (IoT) 设备,破坏设备的磁盘分区,删除其防火墙和网络配置,并最终使其完全“变砖”。
六、200万物联网摄像头“裸奔”
联网摄像头是蓬勃发展的智慧城市的关键组件,同时其安全问题的严峻性也日益凸显。
今年 4 月份,安全研究者披露了可能是迄今最为严重的物联网摄像头安全漏洞,受影响监控摄像头数量超过 200 万个,来自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多个摄像头厂商。
这些产品都使用了某国内厂商开发的名为 iLnkP2P 的 P2P 通讯组件。该组件包含两个漏洞,可能使远程黑客能够到并接管设备中使用的易受攻击的摄像机并监视其所有者。
四个字的游戏名此外,七月物联网摄像头制造商 Swann 修补了其联网摄像头中的一个漏洞,该漏洞使远程攻击者可以访问其视频源。9 月,多达 80 万个基于 IP 的闭路电视摄像机暴露在零日漏洞攻击之下,该漏洞可能使黑客能够访问监视摄像机,监视和操纵视频源或植入恶意软件。
对领导的感谢词七、智能玩具不再“好玩”
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论