日前，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT發(fā)布2016年IoT設(shè)備漏洞情況統(tǒng)計(jì)簡(jiǎn)報(bào)。

簡(jiǎn)報(bào)顯示，2016年國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄IoT設(shè)備漏洞1117個(gè)，漏洞涉及Cisco、 Huawei、Google、Moxa等廠商。其中，傳統(tǒng)網(wǎng)絡(luò)設(shè)備廠商思科（Cisco）設(shè)備漏洞356條，占全年IoT設(shè)備漏洞的32%；華為（Huawei）位列第二，共收錄155條；安卓系統(tǒng)提供商谷歌（Google）位列第三，工業(yè)設(shè)備產(chǎn)品提供廠商摩莎科技（Moxa）、西門(mén)子（Siemens）分列第四和第五。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心稱(chēng)，2016年IoT設(shè)備漏洞類(lèi)型分別為權(quán)限繞過(guò)、拒絕服務(wù)、信息泄露、跨站、命令執(zhí)行、緩沖區(qū)溢出、SQL注入、弱口令、設(shè)計(jì)缺陷等漏洞。其中，權(quán)限繞過(guò)、拒絕服務(wù)、信息泄露漏洞數(shù)量位列前三，分別占收錄漏洞總數(shù)的23%，19%，13%。而對(duì)于弱口令（或內(nèi)臵默認(rèn)口令）漏洞，雖然在統(tǒng)計(jì)比例中漏洞條數(shù)占比不大（2%），但實(shí)際影響卻十分廣泛，成為惡意代碼攻擊利用的重要風(fēng)險(xiǎn)點(diǎn)。

2016年CNVD公開(kāi)收錄1117個(gè)IoT設(shè)備漏洞中，影響設(shè)備的類(lèi)型（以標(biāo)簽定義）包括網(wǎng)絡(luò)攝像頭、路由器、手機(jī)設(shè)備、防火墻、網(wǎng)關(guān)設(shè)備、交換機(jī)等。其中，網(wǎng)絡(luò)攝像頭、路由器、手機(jī)設(shè)備漏洞數(shù)量位列前三，分別占公開(kāi)收錄漏洞總數(shù)的10%，9%，5%。

根據(jù)CNVD白帽子、補(bǔ)天平臺(tái)以及漏洞盒子等來(lái)源的匯總信息，2016年CNVD收錄IoT設(shè)備事件型漏洞540個(gè)。與通用軟硬件漏洞影響設(shè)備標(biāo)簽類(lèi)型有所不同，主要涉及交換機(jī)、路由器、網(wǎng)關(guān)設(shè)備、GPS設(shè)備、手機(jī)設(shè)備、智能監(jiān)控平臺(tái)、網(wǎng)絡(luò)攝像頭、打印機(jī)、一卡通產(chǎn)品等。其中，GPS設(shè)備、一卡通產(chǎn)品、網(wǎng)絡(luò)攝像頭漏洞數(shù)量位列前三，分別占公開(kāi)收錄漏洞總數(shù)的22%，7%，7%。值得注意的是，目前政府、高校以及相關(guān)行業(yè)單位陸續(xù)建立一些與交通、環(huán)境、能源、校園管理相關(guān)的智能監(jiān)控平臺(tái)，這些智能監(jiān)控平臺(tái)漏洞占比雖然較少（2%），但一旦被黑客攻擊，帶來(lái)的實(shí)際威脅卻是十分嚴(yán)重的。