最熱10款智能家居設備有250個(gè)漏洞

不少人為前景一片光明的物聯(lián)網(wǎng)而感到興奮，黑客們想必亦然。惠普的一項研究發(fā)現，惠普的Fortify應用程序安全部門(mén)對市面上最熱門(mén)的10款消費級物聯(lián)網(wǎng)產(chǎn)品進(jìn)行了研究分析，發(fā)現它們有250種安全漏洞，也就是說(shuō)每款產(chǎn)品平均25種。

不過(guò)，惠普并沒(méi)有具體指出涉及哪些產(chǎn)品，只是泛泛地說(shuō)：它們來(lái)自“電視、網(wǎng)絡(luò )攝像頭、家用恒溫器、遠程電源插座、灑水車(chē)控制器、多設備控制中樞器、門(mén)鎖、家庭警報器、磅秤和車(chē)庫開(kāi)門(mén)器的制造商”。

據上海.羿歌所了解，這些設備通常都是運行Linux操作系統的精簡(jiǎn)版本，所以它們會(huì )有很多常見(jiàn)于運行Linux的服務(wù)器或者計算機的基本安全漏洞。問(wèn)題在于，設備制造商并沒(méi)有像對待傳統計算機那樣花功夫去加強安全保護。

惠普副總裁兼Fortify部門(mén)總經(jīng)理邁克·阿米斯特德(Mike Armistead)指出，該行業(yè)的現狀是，制造商們普遍匆忙將它們的產(chǎn)品推出市場(chǎng)，而沒(méi)有很努力地去給設備提供防范基本攻擊的能力。

該問(wèn)題的危害性可能會(huì )大大放大，因為一旦一款設備遭攻擊，設備間重合的漏洞會(huì )致使攻擊向其它設備蔓延。這并非危言聳聽(tīng)，歷史上發(fā)生過(guò)那樣的黑客攻擊，其中破 壞性最大的事件之一是超過(guò)7000萬(wàn)人信息失竊的Target事件。在該事件中，黑客是通過(guò)攻擊用于控制和維護公司門(mén)店采暖通風(fēng)系統的系統來(lái)盜取數據。

惠普的智能家居設備研究報告指出：

有8款設備對設備本身或者相應網(wǎng)站要求的密碼強度低于“1234”。

有7款設備在與互聯(lián)網(wǎng)或者本地網(wǎng)絡(luò )進(jìn)行通訊的時(shí)候沒(méi)有進(jìn)行加密，這意味著(zhù)任何數據的傳送都“不設防，暢行無(wú)阻”，不管那些數據敏感機密與否。

有6款設備界面存在安全漏洞，容易受到持續的跨站點(diǎn)腳本攻擊，默認登陸認證信息脆弱，或者“暢行無(wú)阻地”傳輸像密碼這樣的登陸認證信息。

有6款設備在軟件升級下載期間沒(méi)有加密。這尤其令人擔憂(yōu)，因為不法分子可以借此偽造軟件更新，對設備重新編程，從而為所欲為地控制設備。想想如果聯(lián)網(wǎng)的網(wǎng)絡(luò )攝像頭或者車(chē)庫開(kāi)門(mén)器出現這種問(wèn)題，會(huì )是怎樣的后果吧。

10款設備中有9款至少收集過(guò)某種個(gè)人信息：郵箱地址、家庭住址、姓名和出生日期。

惠普Fortify研究人員以往常的方式來(lái)進(jìn)行此次研究：他們讓那些智能家居設備接受Fortify on Demand服務(wù)的檢測，該服務(wù)會(huì )對軟件的已知和潛在安全問(wèn)題進(jìn)行測試。

那物聯(lián)網(wǎng)市場(chǎng)會(huì )有多大呢市場(chǎng)研究公司Gartner估計，到2020年，個(gè)人智能家居設備總裝機量將上漲至260億。

正如阿米斯特德所指出的，“對于黑客來(lái)說(shuō)，那是巨大的新攻擊目標。”