2019年十大物聯(lián)網(wǎng)安全事件 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2019-12-29 瀏覽次數(shù): |
信息來源:安全牛 未來很長一段時(shí)間,物聯(lián)網(wǎng)安全威脅都將是最大的安全威脅之一,物聯(lián)網(wǎng)安全支出在信息安全整體市場的占比也將快速提升,根據(jù)賽迪顧問《2019中國網(wǎng)絡(luò)安全發(fā)展白皮書》,2018年中國物聯(lián)網(wǎng)安全市場規(guī)模達(dá)到 88.2 億,增速高達(dá) 34.7%,明顯高于行業(yè)平均增速。 回顧 2019 年,設(shè)備安全依然是 2019 年物聯(lián)網(wǎng)安全的焦點(diǎn)問題:從智能家居設(shè)備中的隱私問題到僵尸網(wǎng)絡(luò),乃至全球范圍內(nèi)基于物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)發(fā)動(dòng)的分布式拒絕服務(wù) (DDoS) 攻擊。 以下是 2019 年值得關(guān)注的十大物聯(lián)網(wǎng)安全(系列)事件: 一、物聯(lián)網(wǎng)設(shè)備的系統(tǒng)性安全缺陷和隱私風(fēng)險(xiǎn) 2019 年 1 月份,安全研究人員發(fā)現(xiàn)沃爾瑪和百思買等大型零售商銷售的熱門聯(lián)網(wǎng)或智能家居設(shè)備普遍存在嚴(yán)重安全漏洞和隱私問題(上圖)。送檢的12種不同的物聯(lián)網(wǎng)設(shè)備均發(fā)現(xiàn)安全問題,包括缺少數(shù)據(jù)加密和缺少加密證書驗(yàn)證。這些設(shè)備包括來自不同制造商的智能相機(jī)、智能插頭和安防產(chǎn)品,包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。這次安全 “體檢” 為整個(gè)物聯(lián)網(wǎng)行業(yè)敲響了警鐘。 二、酒店偷拍攝像頭引發(fā)全民恐慌 2019 年,國內(nèi)影響最大物聯(lián)網(wǎng)安全事件非酒店偷拍莫屬。過去兩年間酒店偷拍事件層出不窮,從單體民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免,甚至前合肥市公安局長都曾中招。對于有隱私潔癖的用戶來說,幾乎到了要背帳篷去酒店野營的地步了。 面對日益高漲的個(gè)人隱私保護(hù)需求,各路安全廠商和創(chuàng)業(yè)公司紛紛行動(dòng)起來。
除了爆火的 Ping 之外,百度安全 app 和 360 手機(jī)衛(wèi)士都推出了 “偷拍檢測” 功能,但是 APP 端檢測的一個(gè)弊端是智能檢測同局域網(wǎng) (WiFi) 段的偷拍攝像頭,對于獨(dú)立聯(lián)網(wǎng)和離線攝像頭無能為力,并不能做到百分之百的靠譜,充其量只能算是輔助措施,消費(fèi)者需要對此有足夠清醒的認(rèn)識(shí),必要的時(shí)候人肉排查+超輕雙人帳篷依然是終極方案。 三、震驚全美的Ring智能門鈴和安防監(jiān)控頭丑聞 除了酒店,家庭監(jiān)控?cái)z像頭也不省心。2019 年末,亞馬遜旗下的 Ring 的隱私問題和安全丑聞激增,并且仍在持續(xù)發(fā)酵中。 作為全球最火的家庭安防硬件產(chǎn)品之一—— Ring 曝出安全漏洞,黑客可以監(jiān)控用戶家庭,而且 Ring 還會(huì)暴露用戶的 WiFi 密碼。大量用戶投訴自己的私生活被黑客傳到網(wǎng)上,甚至還有黑客通過 Ring 攝像頭跟搖籃里的嬰兒打招呼。 更糟糕的是,Ring 的隱私政策也成了眾矢之的。Ring 承認(rèn)與美國 600 多個(gè)警察部門合作,提供用戶視頻。11 月份一些美國參議員要求亞馬遜披露如何確保 Ring 家庭攝像頭的安全性,以及都有誰可以訪問這些錄像。 四、安全漏洞迭出,智能門鎖遭遇安全危機(jī) 研究人員在智能門鎖 Smart Deadbolts 中發(fā)現(xiàn)了一種流行的智能鎖漏洞,攻擊者可以利用這些漏洞遠(yuǎn)程打開門并闖入房屋。智能鎖的制造商 Hickory Hardware 已將補(bǔ)丁程序部署到了 Google Play 商店和 Apple App Store 上受影響的應(yīng)用程序。這只是 2019 年眾多智能門鎖安全漏洞的冰山一角。 6 月,研究人員警告說,U-tec 制造的智能門鎖 Ultraloq 出現(xiàn)故障,攻擊者可以追蹤該設(shè)備的使用地點(diǎn)并完全控制該鎖。 7 月,兩位安全研究人員發(fā)現(xiàn)了 ZipaMicro 智能家居三個(gè)安全漏洞,如果把它們連接在一起就可能會(huì)被濫用,而結(jié)果就是導(dǎo)致用戶家的智能門鎖會(huì)被輕易打開。(下圖)
國內(nèi)方面,2018 年國內(nèi)智能門鎖品牌已超過 3500 個(gè),2019 年市場規(guī)模有望突破 200 億元(是的,你沒看錯(cuò),一個(gè)小小的智能門鎖價(jià)值堪比全國信息安全市場的半壁江山了)。雖然經(jīng)歷年初央視曝光 “小黑盒”、APP 遠(yuǎn)程控制漏洞,但是國內(nèi)智能門鎖硬件、軟件、云端等各個(gè)攻擊面的安全問題并未得到更多用戶的重視。相關(guān)的安全開發(fā)、安全測試檢測(包括白帽子漏洞發(fā)掘)、技術(shù)標(biāo)準(zhǔn)和規(guī)范相對滯后。 一個(gè)比較亮眼的進(jìn)步是 12 月 20 日騰訊發(fā)布了《騰訊智能門鎖安全技術(shù)要求》,從智能門鎖的終端、通信及云平臺(tái)三個(gè)層面出發(fā),闡述系統(tǒng)安全等十五項(xiàng)安全技術(shù)要求?!兑蟆分羞€構(gòu)建了智能門鎖安全等級體系,為業(yè)內(nèi)廠商、機(jī)構(gòu)和用戶對智能門鎖安全水平的測評提供了一整套操作流程標(biāo)準(zhǔn)。但是考慮到騰訊也是智能家居和智能門鎖市場中的 “玩家”,由騰訊制定的安全標(biāo)準(zhǔn)能否得到廣大智能門鎖廠商的認(rèn)同和支持,目前還有待觀察。 五、導(dǎo)致物聯(lián)網(wǎng)設(shè)備大規(guī)模“變磚”的惡意軟件 6 月份,一名 14 歲的黑客使用一種名為 Silex 的惡意軟件來欺騙多達(dá) 4,000 個(gè)不安全的物聯(lián)網(wǎng)設(shè)備,然后突然關(guān)閉了其命令和控制服務(wù)器。Silex 將不安全的 IoT 設(shè)備作為攻擊目標(biāo),使其癱瘓(類似2017年的 BrickerBot 惡意軟件一樣)。Silex 專門針對運(yùn)行 Linux 或 Unix 操作系統(tǒng),采用默認(rèn)或者已知密碼的的物聯(lián)網(wǎng) (IoT) 設(shè)備,破壞設(shè)備的磁盤分區(qū),刪除其防火墻和網(wǎng)絡(luò)配置,并最終使其完全 “變磚”。 六、200萬物聯(lián)網(wǎng)攝像頭“裸奔” 聯(lián)網(wǎng)攝像頭是蓬勃發(fā)展的智慧城市的關(guān)鍵組件,同時(shí)其安全問題的嚴(yán)峻性也日益凸顯。 今年 4 月份,安全研究者披露了可能是迄今最為嚴(yán)重的物聯(lián)網(wǎng)攝像頭安全漏洞,受影響監(jiān)控?cái)z像頭數(shù)量超過 200 萬個(gè),來自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多個(gè)攝像頭廠商。 這些產(chǎn)品都使用了某國內(nèi)廠商開發(fā)的名為 iLnkP2P 的 P2P 通訊組件。該組件包含兩個(gè)漏洞,可能使遠(yuǎn)程黑客能夠找到并接管設(shè)備中使用的易受攻擊的攝像機(jī)并監(jiān)視其所有者。 此外,七月物聯(lián)網(wǎng)攝像頭制造商 Swann 修補(bǔ)了其聯(lián)網(wǎng)攝像頭中的一個(gè)漏洞,該漏洞使遠(yuǎn)程攻擊者可以訪問其視頻源。9 月,多達(dá) 80 萬個(gè)基于 IP 的閉路電視攝像機(jī)暴露在零日漏洞攻擊之下,該漏洞可能使黑客能夠訪問監(jiān)視攝像機(jī),監(jiān)視和操縱視頻源或植入惡意軟件。 七、智能玩具不再“好玩” 聯(lián)網(wǎng)智能玩具仍然不安全。去年 12 月,安全研究人員發(fā)現(xiàn),各種兒童專用的聯(lián)網(wǎng)玩具存在很多先天性的安全問題,例如缺少設(shè)備配對的身份驗(yàn)證,以及聯(lián)網(wǎng)帳戶缺乏加密。在 2019 年美國黑帽大會(huì)上,研究人員展示了 LeapPad Ultimate 兒童教育平板電腦的安全檢測結(jié)果,表示該平板電腦存在許多安全問題,包括允許不良行為者跟蹤設(shè)備,向孩子發(fā)送消息或發(fā)起中間人攻擊。 Checkmarx 安全研究主管 Erez Yalon 告訴 Threatpost 說:兒童智能產(chǎn)品制造商需要意識(shí)到目標(biāo)受眾沒有疑心,天真,更容易錯(cuò)過攻擊的簡單警告信號(hào)。此外,侵犯隱私權(quán)給兒童帶來的后果可能是災(zāi)難性的。因此,一般來說,制造商需要采用最嚴(yán)格的標(biāo)準(zhǔn)。 LeapPad 平板電腦的一個(gè)應(yīng)用程序 Pet Chat(寵物聊天)也存在安全問題。Pet Chat 應(yīng)用程序創(chuàng)建一個(gè) Wi-Fi Ad-Hoc 連接,并使用簡單的 SSID “Pet Chat” 廣播到附近的其他兼容設(shè)備。研究人員能夠使用名為 WiGLE 的工具——一個(gè)收集不同無線熱點(diǎn)信息的網(wǎng)站,在全球范圍內(nèi)將位置和其他信息存儲(chǔ)在中央數(shù)據(jù)庫中,以識(shí)別平板電腦。 這意味著 “任何人都可以使用 Pet Chat 通過在公共 Wi-Fi 上找到它們,或跟蹤其設(shè)備的 MAC 地址來識(shí)別 LeapPads 的位置。 八、兒童智能手表安全問題爆發(fā) 與其他物聯(lián)網(wǎng)和智能設(shè)備類似,兒童智能手表也存在先天性的安全缺陷,例如可以暴露兒童的位置數(shù)據(jù)和個(gè)人信息,從而為各種隱患制造伏筆。 2019 年因安全問題被曝光的智能手表產(chǎn)品包括中國的 M2 智能手表,該智能手表存在的缺陷可能會(huì)泄露用戶的個(gè)人和 GPS 數(shù)據(jù),并允許攻擊者監(jiān)聽和操縱對話。此外安全研究人員還發(fā)現(xiàn) Smartwatch TicTocTrack 存在大量安全問題,這些問題使黑客能夠跟蹤和呼叫孩子。 更糟糕的是,與其他智能硬件產(chǎn)品類似,智能手表的安全缺陷很有可能是全行業(yè)的系統(tǒng)性風(fēng)險(xiǎn)。 九、智能音箱:大熱必死 在亞馬遜、谷歌、阿里、百度等各路人工智能廠商數(shù)年風(fēng)風(fēng)火火的暖場演出后,2019年智能音箱市場終于迎來總爆發(fā)。 但在安全問題上,無論是特斯拉電動(dòng)車還是智能音箱,一旦被信息安全界關(guān)注,終究難逃“大熱必死“的魔咒。 安全研究人員調(diào)查發(fā)現(xiàn)亞馬遜、谷歌和蘋果的智能音箱存在嚴(yán)重的隱私侵犯問題。一份安全報(bào)告甚至披露亞馬遜雇傭了數(shù)千名審計(jì)員來收聽Echo用戶的語音記錄。蘋果的Siri和Google Home也由于類似的原因而受到抨擊,有報(bào)道稱Google員工可以識(shí)別和捕獲家庭暴力或機(jī)密商務(wù)電話的聲音。 提到智能音箱的監(jiān)聽問題,安全牛就不得不提一下 Bose 降噪耳機(jī),這款企業(yè)高管和商務(wù)人士偏愛的差旅神器,也曾因?yàn)楦`聽用戶隱私被起訴,指控 Bose 一直在通過 Bose Connect 應(yīng)用監(jiān)視用戶,并監(jiān)聽用戶所有的對話和播放的內(nèi)容。 總之,音響設(shè)備的安全問題和隱私威脅,往往比我們想象的更為可怕。 十、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)野蠻生長 自從 2014 年從冰箱上發(fā)動(dòng)首個(gè)物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)攻擊后,臭名昭著的 Mirai IoT 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)在 2016 年一戰(zhàn)成名,通過創(chuàng)記錄的 DDoS 攻擊沖垮了包括 Twitter、Netflix 和 Github 等多家大型互聯(lián)網(wǎng)站點(diǎn),導(dǎo)致 “半個(gè)美國掉線”,甚至公有云服務(wù)商 Akamai 也迫于 Mirai 的淫威停止了對爆料獨(dú)立安全博客 KrebsonSecurity 的庇護(hù)。 當(dāng)時(shí),信息安全界和人權(quán)組織就曾指出趨勢:物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)將取代集權(quán)國家成為互聯(lián)網(wǎng)言論的終極審查者?;谖锫?lián)網(wǎng)僵尸網(wǎng)絡(luò)的超大規(guī)模 DDoS 攻擊,已經(jīng)展現(xiàn)了自己在言論審查方面的 “威權(quán)”,已經(jīng)遠(yuǎn)超任何一個(gè)國家政府的審查能力。甚至在美國這樣一個(gè)標(biāo)榜言論自由的國家,沒有人能夠保護(hù) Krebs 這樣一個(gè)享有盛譽(yù)的安全技術(shù)博客。 2019 年,恐怖的 Mirai 僵尸網(wǎng)絡(luò)繼續(xù)保持高速增長,同時(shí)也改變了其 TTP(戰(zhàn)術(shù)、技術(shù)和程序)。據(jù)研究人員分析,Mirai 的活動(dòng)在 2018 年第一季度至 2019 年第一季度之間幾乎翻了一番。安全分析人員指出,在過去的一年中,Mirai 擴(kuò)展了其技術(shù),以瞄準(zhǔn)更多的處理器和更多的企業(yè)級硬件。 |