據科技博客Re/code報道,惠普的Fortify應用程序安全部門對市面上最熱門的10款消費級智能家居產品進行了研究分析,共發現250種安全漏洞。注意是“種”不是“個”,每款產品的漏洞個數顯然會更多。
或許是迫于壓力,惠普并沒有公布被調查的產品品牌,而只說了它們的種類:它們來自“電視、網絡攝像頭、家用恒溫器、遠程電源插座、灑水車控制器、多設備控制中樞器、門鎖、家庭警報器、磅秤和車庫開門器的制造商”。
以下是惠普的智能家居設備研究報告的部分內容:
有8款設備對設備本身或者相應網站要求的密碼強度低于“1234”。
有7款設備在與互聯網或者本地網絡進行通訊的時候沒有進行加密。
有6款設備界面存在安全漏洞,容易受到持續的跨站點腳本攻擊。
有6款設備在軟件升級下載期間沒有加密。黑客可以借此偽造軟件更新,對設備重新編程,從而控制設備。
10款設備中有9款至少收集過某種個人信息:郵箱地址、家庭住址、姓名和出生日期。
此次研究惠普Fortify的研究人員讓那些智能家居設備接受Fortify on Demand服務的檢測,該服務會對軟件的已知和潛在安全問題進行測試。研究方法沒有問題,問題在于為什么會有這么多漏洞?這些漏洞可能會造成哪些影響?
漏洞原因
惠普副總裁兼Fortify部門總經理邁克·阿米斯特德(Mike Armistead)認為,該行業的現狀是造成這些漏洞的原因:制造商都是著急推出產品搶占市場,而沒有做產品的安全保護。
這是廠商的問題,還有系統上的問題。現在智能家居設備所運行的系統是產品這些漏洞的客觀原因:這些設備通常都是運行Linux操作系統的精簡版本,所以常見于運行Linux的服務器或PC上的基本漏洞它們都會有。
是否嚴重
當系統本身容易產生漏洞,并且設備制造商并沒有像對待傳統計算機那樣花功夫去加強安全保護時,問題就變得比較嚴重了:既然有那么多種漏洞,并且很多還是基本漏洞,是不是一款設備受到攻擊,設備間的重合漏洞會致使攻擊向其它設備蔓延?歷史上是有很多先例的,例如黑客通過攻擊取暖通風系統,盜取了超過7000萬人信息的Target事件,似乎應該讓今天的智能家居廠商感到問題的嚴重性。
市場研究公司Gartner估計,到2020年,個人智能家居設備總裝機量將上漲至260億臺。“對于黑客來說,那是巨大的新攻擊目標。”但是,一者國內智能家居產品還不夠成熟,二者國民對于信息安全的意識普遍薄弱,可以想象國內智能家居產品的安全性,也不容樂觀。
京公網安備 11010502049343號