8月1日消息，據國外媒體報道，對10款高人氣的物聯網設備進行的安全審查發現，它們存在的安全缺陷驚人地多。

惠普旗下Fortify部門的研究人員進行的這項研究持續了3周時間，涉及十大類最常見的物聯網產品：電視機、網絡攝像頭、家用溫控器、遙控電源插座、灑水器控制器、用于控制多種設備的控制器、門鎖、家用報警器、磅秤和車庫門遙控開關。

所有這些產品都連接到某種云服務和移動應用，使用戶能遠程控制它們。惠普研究人員發現了總共250個安全缺陷，其中包括隱私、不對傳輸的數據進行加密、Web界面缺陷、不安全的固件升級機制、虛弱的身份認證機制等。

研究人員在報告中寫道，“在10款提供用戶界面的設備中，6款存在一系列問題，例如跨站點腳本缺陷和虛弱的身份認證機制。” 7成設備使用非加密的網絡服務，使得它們與云服務、移動應用的連接容易遭受中間人攻擊。8成設備沒有使用足夠長和復雜的密碼。研究人員能利用強度很低的密碼——例如“1234”或“123456”，配置大多數設備。研究人員說，“黑客能夠利用低強度的密碼、不安全的密碼恢復機制、虛弱的身份認證機制等缺陷，獲得設備訪問權限。” 6成設備下載固件升級包時沒有使用加密技術。另外，升級包文件本身也沒有任何保護機制，這意味著在下載過程中黑客可以篡改文件。

惠普研究人員表示，廠商應當根據開放Web應用程序安全項目提出的物聯網設備十大安全問題清單對它們的產品進行安全評估。研究中發現的許多缺陷被認為是“容易實現的目標”，修正很方便，而且不會對用戶體驗產生影響。

今年針對家用路由器、網絡附加存儲設備、數字視頻錄像機和其他嵌入式系統進行攻擊的事例非常多，表明黑客已經開始了解攻擊這類設備的潛力，尋求通過攻擊這些設備賺錢的途徑。