信息來源：安全牛

未來很長(zhǎng)一段時(shí)間，物聯(lián)網(wǎng)安全威脅都將是最大的安全威脅之一，物聯(lián)網(wǎng)安全支出在信息安全整體市場(chǎng)的占比也將快速提升，根據(jù)賽迪顧問《2019中國(guó)網(wǎng)絡(luò)安全發(fā)展白皮書》，2018年中國(guó)物聯(lián)網(wǎng)安全市場(chǎng)規(guī)模達(dá)到 88.2 億，增速高達(dá) 34.7%，明顯高于行業(yè)平均增速。

回顧 2019 年，設(shè)備安全依然是 2019 年物聯(lián)網(wǎng)安全的焦點(diǎn)問題：從智能家居設(shè)備中的隱私問題到僵尸網(wǎng)絡(luò)，乃至全球范圍內(nèi)基于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)動(dòng)的分布式拒絕服務(wù) (DDoS) 攻擊。

以下是 2019 年值得關(guān)注的十大物聯(lián)網(wǎng)安全（系列）事件：

一、物聯(lián)網(wǎng)設(shè)備的系統(tǒng)性安全缺陷和隱私風(fēng)險(xiǎn)

2019 年 1 月份，安全研究人員發(fā)現(xiàn)沃爾瑪和百思買等大型零售商銷售的熱門聯(lián)網(wǎng)或智能家居設(shè)備普遍存在嚴(yán)重安全漏洞和隱私問題（上圖）。送檢的12種不同的物聯(lián)網(wǎng)設(shè)備均發(fā)現(xiàn)安全問題，包括缺少數(shù)據(jù)加密和缺少加密證書驗(yàn)證。這些設(shè)備包括來自不同制造商的智能相機(jī)、智能插頭和安防產(chǎn)品，包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。這次安全 “體檢” 為整個(gè)物聯(lián)網(wǎng)行業(yè)敲響了警鐘。

二、酒店偷拍攝像頭引發(fā)全民恐慌

2019 年，國(guó)內(nèi)影響最大物聯(lián)網(wǎng)安全事件非酒店偷拍莫屬。過去兩年間酒店偷拍事件層出不窮，從單體民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免，甚至前合肥市公安局長(zhǎng)都曾中招。對(duì)于有隱私潔癖的用戶來說，幾乎到了要背帳篷去酒店野營(yíng)的地步了。

面對(duì)日益高漲的個(gè)人隱私保護(hù)需求，各路安全廠商和創(chuàng)業(yè)公司紛紛行動(dòng)起來。

除了爆火的 Ping 之外，百度安全 app 和 360 手機(jī)衛(wèi)士都推出了 “偷拍檢測(cè)” 功能，但是 APP 端檢測(cè)的一個(gè)弊端是智能檢測(cè)同局域網(wǎng) (WiFi) 段的偷拍攝像頭，對(duì)于獨(dú)立聯(lián)網(wǎng)和離線攝像頭無能為力，并不能做到百分之百的靠譜，充其量只能算是輔助措施，消費(fèi)者需要對(duì)此有足夠清醒的認(rèn)識(shí)，必要的時(shí)候人肉排查+超輕雙人帳篷依然是終極方案。

三、震驚全美的Ring智能門鈴和安防監(jiān)控頭丑聞

除了酒店，家庭監(jiān)控?cái)z像頭也不省心。2019 年末，亞馬遜旗下的 Ring 的隱私問題和安全丑聞激增，并且仍在持續(xù)發(fā)酵中。

作為全球最火的家庭安防硬件產(chǎn)品之一—— Ring 曝出安全漏洞，黑客可以監(jiān)控用戶家庭，而且 Ring 還會(huì)暴露用戶的 WiFi 密碼。大量用戶投訴自己的私生活被黑客傳到網(wǎng)上，甚至還有黑客通過 Ring 攝像頭跟搖籃里的嬰兒打招呼。

更糟糕的是，Ring 的隱私政策也成了眾矢之的。Ring 承認(rèn)與美國(guó) 600 多個(gè)警察部門合作，提供用戶視頻。11 月份一些美國(guó)參議員要求亞馬遜披露如何確保 Ring 家庭攝像頭的安全性，以及都有誰可以訪問這些錄像。

四、安全漏洞迭出，智能門鎖遭遇安全危機(jī)

研究人員在智能門鎖 Smart Deadbolts 中發(fā)現(xiàn)了一種流行的智能鎖漏洞，攻擊者可以利用這些漏洞遠(yuǎn)程打開門并闖入房屋。智能鎖的制造商 Hickory Hardware 已將補(bǔ)丁程序部署到了 Google Play 商店和 Apple App Store 上受影響的應(yīng)用程序。這只是 2019 年眾多智能門鎖安全漏洞的冰山一角。

6 月，研究人員警告說，U-tec 制造的智能門鎖 Ultraloq 出現(xiàn)故障，攻擊者可以追蹤該設(shè)備的使用地點(diǎn)并完全控制該鎖。

7 月，兩位安全研究人員發(fā)現(xiàn)了 ZipaMicro 智能家居三個(gè)安全漏洞，如果把它們連接在一起就可能會(huì)被濫用，而結(jié)果就是導(dǎo)致用戶家的智能門鎖會(huì)被輕易打開。（下圖）

國(guó)內(nèi)方面，2018 年國(guó)內(nèi)智能門鎖品牌已超過 3500 個(gè)，2019 年市場(chǎng)規(guī)模有望突破 200 億元（是的，你沒看錯(cuò)，一個(gè)小小的智能門鎖價(jià)值堪比全國(guó)信息安全市場(chǎng)的半壁江山了）。雖然經(jīng)歷年初央視曝光 “小黑盒”、APP 遠(yuǎn)程控制漏洞，但是國(guó)內(nèi)智能門鎖硬件、軟件、云端等各個(gè)攻擊面的安全問題并未得到更多用戶的重視。相關(guān)的安全開發(fā)、安全測(cè)試檢測(cè)（包括白帽子漏洞發(fā)掘）、技術(shù)標(biāo)準(zhǔn)和規(guī)范相對(duì)滯后。

一個(gè)比較亮眼的進(jìn)步是 12 月 20 日騰訊發(fā)布了《騰訊智能門鎖安全技術(shù)要求》，從智能門鎖的終端、通信及云平臺(tái)三個(gè)層面出發(fā)，闡述系統(tǒng)安全等十五項(xiàng)安全技術(shù)要求?！兑蟆分羞€構(gòu)建了智能門鎖安全等級(jí)體系，為業(yè)內(nèi)廠商、機(jī)構(gòu)和用戶對(duì)智能門鎖安全水平的測(cè)評(píng)提供了一整套操作流程標(biāo)準(zhǔn)。但是考慮到騰訊也是智能家居和智能門鎖市場(chǎng)中的 “玩家”，由騰訊制定的安全標(biāo)準(zhǔn)能否得到廣大智能門鎖廠商的認(rèn)同和支持，目前還有待觀察。

五、導(dǎo)致物聯(lián)網(wǎng)設(shè)備大規(guī)?！白兇u”的惡意軟件

6 月份，一名 14 歲的黑客使用一種名為 Silex 的惡意軟件來欺騙多達(dá) 4,000 個(gè)不安全的物聯(lián)網(wǎng)設(shè)備，然后突然關(guān)閉了其命令和控制服務(wù)器。Silex 將不安全的 IoT 設(shè)備作為攻擊目標(biāo)，使其癱瘓（類似2017年的 BrickerBot 惡意軟件一樣）。Silex 專門針對(duì)運(yùn)行 Linux 或 Unix 操作系統(tǒng)，采用默認(rèn)或者已知密碼的的物聯(lián)網(wǎng) (IoT) 設(shè)備，破壞設(shè)備的磁盤分區(qū)，刪除其防火墻和網(wǎng)絡(luò)配置，并最終使其完全 “變磚”。

六、200萬物聯(lián)網(wǎng)攝像頭“裸奔”

聯(lián)網(wǎng)攝像頭是蓬勃發(fā)展的智慧城市的關(guān)鍵組件，同時(shí)其安全問題的嚴(yán)峻性也日益凸顯。

今年 4 月份，安全研究者披露了可能是迄今最為嚴(yán)重的物聯(lián)網(wǎng)攝像頭安全漏洞，受影響監(jiān)控?cái)z像頭數(shù)量超過 200 萬個(gè)，來自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多個(gè)攝像頭廠商。

這些產(chǎn)品都使用了某國(guó)內(nèi)廠商開發(fā)的名為 iLnkP2P 的 P2P 通訊組件。該組件包含兩個(gè)漏洞，可能使遠(yuǎn)程黑客能夠找到并接管設(shè)備中使用的易受攻擊的攝像機(jī)并監(jiān)視其所有者。

此外，七月物聯(lián)網(wǎng)攝像頭制造商 Swann 修補(bǔ)了其聯(lián)網(wǎng)攝像頭中的一個(gè)漏洞，該漏洞使遠(yuǎn)程攻擊者可以訪問其視頻源。9 月，多達(dá) 80 萬個(gè)基于 IP 的閉路電視攝像機(jī)暴露在零日漏洞攻擊之下，該漏洞可能使黑客能夠訪問監(jiān)視攝像機(jī)，監(jiān)視和操縱視頻源或植入惡意軟件。

七、智能玩具不再“好玩”

聯(lián)網(wǎng)智能玩具仍然不安全。去年 12 月，安全研究人員發(fā)現(xiàn)，各種兒童專用的聯(lián)網(wǎng)玩具存在很多先天性的安全問題，例如缺少設(shè)備配對(duì)的身份驗(yàn)證，以及聯(lián)網(wǎng)帳戶缺乏加密。在 2019 年美國(guó)黑帽大會(huì)上，研究人員展示了 LeapPad Ultimate 兒童教育平板電腦的安全檢測(cè)結(jié)果，表示該平板電腦存在許多安全問題，包括允許不良行為者跟蹤設(shè)備，向孩子發(fā)送消息或發(fā)起中間人攻擊。

Checkmarx 安全研究主管 Erez Yalon 告訴 Threatpost 說：兒童智能產(chǎn)品制造商需要意識(shí)到目標(biāo)受眾沒有疑心，天真，更容易錯(cuò)過攻擊的簡(jiǎn)單警告信號(hào)。此外，侵犯隱私權(quán)給兒童帶來的后果可能是災(zāi)難性的。因此，一般來說，制造商需要采用最嚴(yán)格的標(biāo)準(zhǔn)。

LeapPad 平板電腦的一個(gè)應(yīng)用程序 Pet Chat（寵物聊天）也存在安全問題。Pet Chat 應(yīng)用程序創(chuàng)建一個(gè) Wi-Fi Ad-Hoc 連接，并使用簡(jiǎn)單的 SSID “Pet Chat” 廣播到附近的其他兼容設(shè)備。研究人員能夠使用名為 WiGLE 的工具——一個(gè)收集不同無線熱點(diǎn)信息的網(wǎng)站，在全球范圍內(nèi)將位置和其他信息存儲(chǔ)在中央數(shù)據(jù)庫中，以識(shí)別平板電腦。

這意味著 “任何人都可以使用 Pet Chat 通過在公共 Wi-Fi 上找到它們，或跟蹤其設(shè)備的 MAC 地址來識(shí)別 LeapPads 的位置。

八、兒童智能手表安全問題爆發(fā)

與其他物聯(lián)網(wǎng)和智能設(shè)備類似，兒童智能手表也存在先天性的安全缺陷，例如可以暴露兒童的位置數(shù)據(jù)和個(gè)人信息，從而為各種隱患制造伏筆。

2019 年因安全問題被曝光的智能手表產(chǎn)品包括中國(guó)的 M2 智能手表，該智能手表存在的缺陷可能會(huì)泄露用戶的個(gè)人和 GPS 數(shù)據(jù)，并允許攻擊者監(jiān)聽和操縱對(duì)話。此外安全研究人員還發(fā)現(xiàn) Smartwatch TicTocTrack 存在大量安全問題，這些問題使黑客能夠跟蹤和呼叫孩子。

更糟糕的是，與其他智能硬件產(chǎn)品類似，智能手表的安全缺陷很有可能是全行業(yè)的系統(tǒng)性風(fēng)險(xiǎn)。

九、智能音箱：大熱必死

在亞馬遜、谷歌、阿里、百度等各路人工智能廠商數(shù)年風(fēng)風(fēng)火火的暖場(chǎng)演出后，2019年智能音箱市場(chǎng)終于迎來總爆發(fā)。

但在安全問題上，無論是特斯拉電動(dòng)車還是智能音箱，一旦被信息安全界關(guān)注，終究難逃“大熱必死“的魔咒。

安全研究人員調(diào)查發(fā)現(xiàn)亞馬遜、谷歌和蘋果的智能音箱存在嚴(yán)重的隱私侵犯問題。一份安全報(bào)告甚至披露亞馬遜雇傭了數(shù)千名審計(jì)員來收聽Echo用戶的語音記錄。蘋果的Siri和Google Home也由于類似的原因而受到抨擊，有報(bào)道稱Google員工可以識(shí)別和捕獲家庭暴力或機(jī)密商務(wù)電話的聲音。

提到智能音箱的監(jiān)聽問題，安全牛就不得不提一下 Bose 降噪耳機(jī)，這款企業(yè)高管和商務(wù)人士偏愛的差旅神器，也曾因?yàn)楦`聽用戶隱私被起訴，指控 Bose 一直在通過 Bose Connect 應(yīng)用監(jiān)視用戶，并監(jiān)聽用戶所有的對(duì)話和播放的內(nèi)容。

總之，音響設(shè)備的安全問題和隱私威脅，往往比我們想象的更為可怕。

十、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)野蠻生長(zhǎng)

自從 2014 年從冰箱上發(fā)動(dòng)首個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊后，臭名昭著的 Mirai IoT 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)在 2016 年一戰(zhàn)成名，通過創(chuàng)記錄的 DDoS 攻擊沖垮了包括 Twitter、Netflix 和 Github 等多家大型互聯(lián)網(wǎng)站點(diǎn)，導(dǎo)致 “半個(gè)美國(guó)掉線”，甚至公有云服務(wù)商 Akamai 也迫于 Mirai 的淫威停止了對(duì)爆料獨(dú)立安全博客 KrebsonSecurity 的庇護(hù)。

當(dāng)時(shí)，信息安全界和人權(quán)組織就曾指出趨勢(shì)：物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)將取代集權(quán)國(guó)家成為互聯(lián)網(wǎng)言論的終極審查者。基于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)的超大規(guī)模 DDoS 攻擊，已經(jīng)展現(xiàn)了自己在言論審查方面的 “威權(quán)”，已經(jīng)遠(yuǎn)超任何一個(gè)國(guó)家政府的審查能力。甚至在美國(guó)這樣一個(gè)標(biāo)榜言論自由的國(guó)家，沒有人能夠保護(hù) Krebs 這樣一個(gè)享有盛譽(yù)的安全技術(shù)博客。

2019 年，恐怖的 Mirai 僵尸網(wǎng)絡(luò)繼續(xù)保持高速增長(zhǎng)，同時(shí)也改變了其 TTP（戰(zhàn)術(shù)、技術(shù)和程序）。據(jù)研究人員分析，Mirai 的活動(dòng)在 2018 年第一季度至 2019 年第一季度之間幾乎翻了一番。安全分析人員指出，在過去的一年中，Mirai 擴(kuò)展了其技術(shù)，以瞄準(zhǔn)更多的處理器和更多的企業(yè)級(jí)硬件。