兩個月前的HackPWN安全極客狂歡節上,無人機、烤箱、汽車、洗衣機、手環、電視、豆漿機、智能家居系統等多款智能設備因存在漏洞被破解。在剛剛結束的GeekPWN上又有多款產品被破解。
但仔細研究這一串破解名單后可以發現,兩次破解的產品重合率很高,很多產品連續兩次被攻破。時隔兩個月,產品漏洞依舊,國內廠商們的修補動作未免太慢了。
圖1:HackPwn與GeekPwn烤箱破解大撞車
破解項目撞車,只因仍未更新補丁
HackPwn與GeekPWN撞車的主要包括以下幾項:烤箱、海爾SmartCare智能家居、無人機等;其安卓手機的root方法,更是和上個月互聯網安全大會上的講解如出一轍。
那么問題來了,為何2個月前就被曝光的漏洞,至今仍然存在?
HackPwn安全極客狂歡節舉辦期間,官網顯示:“我們嚴格保證對廠商負責任的信息披露。我們會配合獲勝選手共同在活動現場將詳細的技術信息提供給廠商代表;如未有廠商代表在場,我們將在活動結束后以郵件形式將詳細的技術信息提供給廠商。”
也就是說,在HackPwn大會舉辦后,這些廠商都已經收到了漏洞細節,但針對的補丁卻遲遲未到。這也導致兩個月后的GeekPwn上,相當多的漏洞仍然能再次被拿來演示。
不見蹤影的補丁,無處安放的安全
多項漏洞延期修補,這對用戶來說,卻幾乎是噩夢。遠程控制烤箱自動啟動、關閉SmartCare監視功能、獲取無人機控制權,這一幕幕幾乎是HackPwn的重演,但帶來的震撼與反思卻絲毫未減。
倘若這些漏洞被不法分子掌握,完全可以引爆烤箱、入室行竊、拐走無人機。而諷刺的是,這些產品的廠商早已獲悉問題癥結,但卻依然放任自流,沒有補丁、沒有公告、甚至連簡單的提醒都沒有,全然置用戶的安全于不顧。
國內廠商們的安全意識去哪兒了?
漏洞修補的遲緩,反映出國內軟硬件廠商的通病——安全意識淡薄。問題沒發生時鼓吹安全性能,出了事便推諉扯皮,近期曝光的某郵箱泄露事件就是一個極佳的縮影。
類似事件還有很多:HackPwn大會時,比亞迪等汽車廠商臨時關閉云服務試圖逃避大會攻破,卻遲遲不對漏洞進行修補;面對烏云的漏洞報告,小米手機顧左右而言他,刻意淡化安全問題……業內人士表示,目前國內大多數軟件、智能硬件廠商都沒有專門的安全響應機制,漏洞響應速度慢。
相形之下,國際巨頭們的安全措施十分值得效仿:Google建立安全專家團隊,并高額懸賞旗下產品漏洞;微軟成立安全響應團隊并建立了科學的安全工程方法流程SDL( Security Development Lifecycle),從安全的角度指導整個軟件開發流程。雖然這些大公司也時常被曝出高危漏洞,但及時的補丁更新,為用戶的安全提供了保障。
京公網安備 11010502049343號