未来很长一段时间,物联网安全威胁将是最大的安全威胁之一,物联网安全支出占整个信息安全市场的比重也将快速提升。据赛迪顾问《2019中国网络安全发展白皮书》,2018年中国物联网安全市场规模达到88.2亿,增长率达34.7%,明显高于行业平均增速。回顾2019年,设备安全仍然是2019年物联网安全的重点:从智能家居设备中的隐私问题到全球范围内的僵尸网络和基于物联网僵尸网络的分布式拒绝服务(DDoS)攻击。以下是2019年值得关注的十大物联网安全(系列)事件:一、物联网设备的系统性安全漏洞和隐私风险2019年1月,安全研究人员发现流行的联网或智能家居设备普遍存在,安全问题严重漏洞和隐私问题(上图)。在送检的12款不同物联网设备中发现了安全问题,包括缺乏数据加密和缺乏加密证书验证。这些设备包括来自不同制造商的智能相机、智能插头和安全产品,包括iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。此次安全“健康检查”为整个物联网行业敲响了警钟。2、酒店偷拍引起民众恐慌。2019年,国内最具影响力的物联网安全事件非酒店偷拍莫属。近两年,酒店偷拍事件层出不穷,大到独立民宿、自如、Airbnb,大到威斯汀酒店、皇冠假日酒店。就连原合肥市公安局局长也参与其中。对于有私密性和清洁度的用户来说,几乎到了背着帐篷去酒店露营的地步。面对日益增长的个人隐私保护需求,各家安全厂商和初创公司纷纷行动起来。2018年,安全牛曾报道过最早的酒店防偷拍硬件开源项目CyborgUnplug(开源地址:https://github.com/JulianOliver/CyborgUnplug),其实是一个VPN路由器,可以扫描并踢出同网段偷拍。除了爆Ping,百度安全APP和360手机卫士都推出了“偷拍检测”功能,但APP端检测的缺点之一是同一局域网(WiFi)下的偷拍智能检测)部分。离线摄像头无能为力,不能100%可靠。充其量,它们只能被视为辅助措施。消费者需要对此有清醒的认识。必要的时候,人肉筛选+超轻型两人帐篷依然是最终的解决方案。3、震惊美国的Ring智能门铃和安防摄像头丑闻除了酒店,家庭监控摄像头也不堪忧。亚马逊旗下Ring的隐私问题和安全丑闻在2019年底激增,并且仍在继续。作为全球最流行的家庭安全硬件产品之一——Ring已经暴露出安全漏洞,黑客可以监控用户的家庭,Ring也会暴露用户的WiFi密码。大量用户投诉称,自己的私生活被黑客发布到网上,甚至有黑客通过Ring摄像头与摇篮中的婴儿打招呼。更糟糕的是,Ring的隐私政策也受到抨击。Ring承认与美国600多个警察部门合作,提供用户视频。11月,一群美国参议员要求亚马逊披露其如何保护Ring家庭摄像头的安全以及谁有权访问这些镜头。4、安全漏洞层出不穷,智能门锁遭遇安全危机研究人员在智能门锁SmartDeadbolts中发现了一个流行的智能锁漏洞,攻击者可以通过该漏洞远程开门破门而入。智能锁制造商HickoryHardware已经为GooglePlayStore和AppleAppStore上受影响的应用部署了补丁。这只是2019年众多智能门锁安全漏洞的冰山一角。6月,研究人员警告说,U-tec制造的Ultraloq智能门锁中的一个小故障可能会让攻击者追踪到设备的使用位置并采取完整的措施。锁的控制。7月,两名安全研究人员在ZipaMicro的智能家居中发现了三个安全漏洞,如果连接在一起就可能被滥用,结果就是用户家中的智能门锁可以被轻易打开。(下图)国内方面,2018年国产智能门锁品牌超过3500家,预计2019年市场规模将突破200亿元(是的,你没有看错,一把小小的智能门锁价值相当于全国信息安全市场的一半已经消失)。尽管央视年初曝光了“小黑匣子”和APP远程控制漏洞,但国产智能门锁硬件、软件、云端等攻击面的安全问题并没有得到用户更多的关注。相关的安全发展、安全测试检测(包括白帽漏洞发现)、技术标准和规范相对滞后。更为亮眼的进展是,腾讯于12月20日发布,从智能门锁的终端、通信、云平台三个层面入手,阐述了包括系统安全在内的十五项安全技术要求。《要求》还构建了智能门锁的安全等级体系,为行业内的厂商、机构和用户评估智能门锁的安全等级提供了一套操作流程标准。不过,考虑到腾讯也是智能家居和智能门锁市场的“玩家”,腾讯制定的安全标准能否得到广大智能门锁厂商的认可和支持,还有待观察。5.导致物联网设备大规模“变砖”的恶意软件6月,一名14岁的黑客使用名为Silex的恶意软件诱使多达4,000台不安全的物联网设备突然关闭。它的命令和控制服务器。Silex以不安全的物联网设备为目标以禁用它们(类似于2017年的BrickerBot恶意软件)。Silex专门针对使用默认或已知密码运行Linux或Unix操作系统的物联网(IoT)设备,破坏设备的磁盘分区,删除其防火墙和网络配置,并最终将其完全“变砖”。6、200万台物联网摄像头“裸奔”联网摄像头是蓬勃发展的智慧城市的关键组成部分,与此同时,其安全问题的严峻性也日益凸显。今年4月,安全研究人员披露了可能是迄今为止最严重的物联网摄像头安全漏洞,影响了超过200万台监控摄像头,包括HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEOCoolcam、Sricam、EyeSight和HVCAM和其他相机制造商。这些产品都使用了国内厂商开发的名为iLnkP2P的P2P通信组件。该组件包含两个漏洞,可能允许远程黑客定位和接管设备中使用的易受攻击的摄像头并监视其所有者。此外,物联网相机制造商Swann在7月修补了其联网相机中的一个漏洞,该漏洞可能允许远程攻击者访问其视频源。9月,多达800,000个基于IP的闭路电视摄像机遭到零日漏洞利用,黑客可能利用该漏洞访问监控摄像机、监控和操纵视频源或植入恶意软件。7、智能玩具不再“好玩”联网的智能玩具仍然不安全。去年12月,安全研究人员发现各种儿童联网玩具存在许多固有的安全问题,例如缺乏设备配对身份验证和联网账户加密。在BlackHatUSA2019上,研究人员对LeapPadUltimate儿童教育平板电脑进行了安全检查,称该平板电脑存在许多安全问题,包括允许不良行为者跟踪设备、向儿童发送消息或启动人在其中-中间攻击。Checkmarx安全研究负责人ErezYalon告诉Threatpost:儿童智能产品制造商需要意识到他们的目标受众是毫无戒心、幼稚的,并且更有可能错过简单的攻击警告信号。此外,侵犯隐私权对儿童造成的后果可能是灾难性的。因此,一般来说,制造商需要应用最严格的标准。LeapPad平板电脑的应用PetChat也存在安全问题。PetChat应用程序创建Wi-FiAd-Hoc连接,并使用简单的SSID“PetChat”向附近的其他兼容设备广播。研究人员能够使用一种名为WiGLE的工具——一个收集世界各地不同无线热点信息、将位置和其他信息存储在中央数据库中的网站——来识别平板电脑。这意味着“任何人都可以使用PetChat通过在公共Wi-Fi上找到LeapPad或通过跟踪其设备的MAC地址来识别LeapPad的位置。”此外,儿童智能手表也存在先天的安全漏洞,比如儿童位置数据和个人信息的暴露,从而为各种隐患埋下伏笔。2019年因安全问题被曝光的智能手表产品包括中国的M2智能手表,该智能手表的缺陷可能会泄露用户的个人和GPS数据,并允许攻击者窃听和操纵对话。此外,安全研究人员还发现SmartwatchTicTocTrack存在许多安全问题,可让黑客追踪和呼叫儿童。更糟糕的是,与其他智能硬件产品类似,智能手表的安全漏洞很可能成为整个行业的系统性风险。9.智能音箱:热死了。经过亚马逊、谷歌、阿里、百度等各家人工智能厂商的几年预热演出,智能音箱市场终于在2019年迎来全面爆发。但说到安全问题,无论是特斯拉电动汽车或者智能音箱,一旦受到信息安全界的关注,就难逃“热死”的魔咒。安全研究人员发现亚马逊、谷歌和苹果的智能音箱严重侵犯隐私。一份安全报告甚至透露,亚马逊雇佣了数千名审计员来收听Echo用户的录音。Apple的Siri和GoogleHome也因类似原因受到抨击,有报道称Google员工可以识别并捕捉家庭暴力或机密商务电话的声音。说到智能音箱的监听,安全牛不得不提到Bose降噪耳机,这款深受企业高管和商务人士青睐的出行神器。该应用程序监视用户并收听用户的所有对话和播放的内容。总之,音频设备的安全问题和隐私威胁往往比我们想象的更可怕。10.IoT僵尸网络疯狂增长自2014年从冰箱发起第一次IoT僵尸网络攻击以来,臭名昭著的MiraiIoTIoT僵尸网络在2016年以创纪录的DDoS攻击而名声大噪,该攻击摧毁了Twitter和Twitter。、Netflix、Github等多家大型互联网网站,导致“半个美国下线”,甚至公有云服务商Akamai也被Mirai威逼利诱,停止保护爆料的独立安全博客KrebsonSecurity。当时,信息安全社区和人权组织指出了一种趋势,即物联网僵尸网络将取代专制国家成为互联网言论的最终审查者。基于物联网僵尸网络的超大规模DDoS攻击,其言论审查的“权威性”已经远远超出了任何政府的审查能力。即使在美国这样以言论自由为荣的国家,也没有人能够保护享有如此声誉的安全技术博客Krebs。2019年,可怕的Mirai僵尸网络在继续高速增长的同时,也在改变其TTP(战术、技术和程序)。根据研究人员的分析,Mirai的活动在2018年第一季度和2019年第一季度之间几乎翻了一番。安全分析师指出,在过去的一年中,Mirai已将其技术扩展到更多处理器和更多企业级硬件。【本文为专栏作者“李少鹏”原创文章,转载请通过暗牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多本作者好文
