導(dǎo)讀:19.5%的智能攝像機(jī)存在上述常見安全漏洞,是三類設(shè)備中最“危險”的IoT設(shè)備。而在智能攝像機(jī)存在的漏洞中,遠(yuǎn)程弱口令漏洞占比最高,為91.7%。這一漏洞發(fā)生在智能攝像頭上,可能導(dǎo)致攝像頭變“偷窺狂”,泄露用戶隱私。
智能設(shè)備正在成為新的安全威脅,一份研究報告指出,如果不采取有效措施,智能設(shè)備的安全漏洞將會以每年超過20%的速度增長。
11月27日,360安全大腦發(fā)布了國內(nèi)首個智能設(shè)備安全報告,這份名為《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報告》從智能攝像機(jī)、電視盒子、智能打印機(jī)等家庭及辦公場景下最常見的IoT設(shè)備入手,進(jìn)行了50余個品牌近200種不同機(jī)型產(chǎn)品的抽樣檢測與分析,并圍繞廠商安全服務(wù)水平、用戶安全意識、IoT安全趨勢等維度,系統(tǒng)分析了典型IoT設(shè)備的安全問題。
報告顯示了嚴(yán)峻的IoT安全現(xiàn)狀,指出一些常見漏洞可輕易導(dǎo)致IoT設(shè)備喪失控制權(quán),任人擺布。這些與用戶“朝夕相處”的IoT設(shè)備將帶來更嚴(yán)重的安全威脅,而智能攝像頭首當(dāng)其沖,成為“最不安全”的智能設(shè)備。
此外。報告還預(yù)計,如果不采取有效措施提高IoT設(shè)備安全性,2019年,與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長,安全形勢不容樂觀。
智能攝像頭最危險:近五分之一存在漏洞
該報告研究對象為IoT設(shè)備危害最大,也最為普遍的三大類安全漏洞:遠(yuǎn)程弱口令漏洞、預(yù)置后門漏洞和敏感信息泄露漏洞在不同智能設(shè)備上的分布情況。
檢測顯示,8.4%的受檢設(shè)備存在遠(yuǎn)程弱口令漏洞,是影響最廣泛的漏洞,弱口令極易被破解,繼而導(dǎo)致設(shè)備喪失控制權(quán),危害后果嚴(yán)重。
目前的智能設(shè)備遠(yuǎn)程操作已經(jīng)是“標(biāo)配”,比如利用手機(jī)查看家中智能攝像機(jī)的畫面、網(wǎng)頁管理打印機(jī)等設(shè)備、上傳下載文件等。
所謂遠(yuǎn)程弱口令,即使用的遠(yuǎn)程服務(wù)只設(shè)置了簡單密碼,比如admin、password、12345678等常見字母、數(shù)字組合,以及個人姓名、生日、電話號碼、身份證號等,。
報告顯示,19.5%的智能攝像機(jī)存在上述常見安全漏洞,是三類設(shè)備中最“危險”的IoT設(shè)備。而在智能攝像機(jī)存在的漏洞中,遠(yuǎn)程弱口令漏洞占比最高,為91.7%。這一漏洞發(fā)生在智能攝像頭上,可能導(dǎo)致攝像頭變“偷窺狂”,泄露用戶隱私。
此外,智能打印機(jī)存在的漏洞中,遠(yuǎn)程弱口令漏洞占比最大,為95.8%。在企業(yè)的日常工作場景中,遠(yuǎn)程傳輸文件進(jìn)行打印是再熟悉不過的行為。如果打印機(jī)管理員疏于修改打印機(jī)出廠設(shè)置的遠(yuǎn)程服務(wù)弱口令,可能引發(fā)商業(yè)機(jī)密的泄露,帶來不可估量的損失。
在電視盒子暴露的漏洞中,敏感信息泄露漏洞占比高達(dá)92.7%,遠(yuǎn)超其他類型漏洞。該漏洞主要由敏感數(shù)據(jù)存儲未加密、采用明文傳輸?shù)仍驅(qū)е隆@眠@些漏洞,攻擊者能遠(yuǎn)程查看用戶電視設(shè)備播放的節(jié)目列表、歷史記錄,甚至造成用戶的視頻網(wǎng)站賬號密碼泄露。
報告強調(diào),除這三大類漏洞外,不同的IoT設(shè)備中還存在更大比例的其他類漏洞,整體安全情況不容小覷。
用戶最擔(dān)憂隱私泄露、人身財產(chǎn)安全
360安全大腦對IoT設(shè)備用戶的調(diào)研顯示,提升生活便捷程度、享受科技體驗、守護(hù)家庭安全為用戶購買IoT設(shè)備的三大原因。但是,用戶對IoT設(shè)備的擔(dān)憂,也同樣來源于安全方面。
調(diào)研數(shù)據(jù)顯示,用戶對IoT設(shè)備最擔(dān)憂的安全問題是隱私泄露及盜竊,其次是人身安全、支付安全、病毒攻擊和WIFI風(fēng)險。用戶所擔(dān)心的這些方面,也是IoT設(shè)備目前被詬病最多的威脅。
根據(jù)調(diào)研,只有36.0%的網(wǎng)友表示,從未遭遇過IoT設(shè)備安全問題。4.5%的用戶表示經(jīng)常被各種安全問題轟炸,飽受叨擾;18.1%的用戶表示曾遭遇過安全問題,雖然加強了防護(hù),但仍然防不勝防;另外高達(dá)40.1%的用戶表示,不知道是否曾遭遇過智能硬件安全問題,但個人信息可能已經(jīng)被泄露了。
除了IoT設(shè)備本身的漏洞,用戶的忽視以及不安全使用,也是造成IoT設(shè)備安全問題的重要因素。用戶的不安全使用行為包含不修改默認(rèn)密碼、設(shè)置弱密碼、不升級打補丁、安裝過多插件等。
密碼方面,用戶使用弱密碼或使用默認(rèn)密碼,是重要的安全隱患之一。360安全大腦通過對用戶的調(diào)研顯示,61.7%的用戶會修改密碼并設(shè)置高防護(hù)密碼,而30.5%的用戶會使用弱密碼,還有6.8%的用戶根本不去修改密碼。
定期升級系統(tǒng)或給漏洞打補丁,是確保IoT設(shè)備安全性的重要舉措。360安全大腦對用戶的調(diào)研顯示,大部分用戶會及時升級、打補丁,分別占比49.3%和63.0%;0.9%的用戶不去修補漏洞,7.5%的用戶不去升級網(wǎng)絡(luò)端口;其余則是大部分會、偶爾會。也就是說,用戶的安全意識仍然不夠高。
廠商是第一責(zé)任人,三成廠商不考慮安全問題
廠商是守衛(wèi)IoT安全的第一道關(guān)口,其能否為IoT設(shè)備設(shè)置安全模塊、高強度的出廠密碼,及時修復(fù)漏洞,都關(guān)系著IoT設(shè)備的安全。
然而,報告通過對流行IoT設(shè)備制造商的抽樣調(diào)查發(fā)現(xiàn),有66.7%的廠商會為部分IoT產(chǎn)品設(shè)置安全模塊,另有33.3%的廠商則在設(shè)計IoT產(chǎn)品時完全不考慮安全問題,不設(shè)置安全模塊。這種情況在中小廠商和初創(chuàng)廠商中更為普遍。
此外,廠商能否為IoT設(shè)備設(shè)置高強度的出廠密碼,關(guān)乎IoT設(shè)備安全。360安全大腦監(jiān)測數(shù)據(jù)顯示,在進(jìn)行抽樣調(diào)查的IoT設(shè)備中,出廠設(shè)置弱密碼的設(shè)備數(shù)量占比高達(dá)64.4%,存在較高的被暴力破解風(fēng)險,危及用戶隱私。
約三分之二的廠商,未能在接到第三方報告后,三個月內(nèi)修復(fù)系統(tǒng)漏洞。除安全意識不足的因素外,在IoT行業(yè),很多廠商由硬件廠商轉(zhuǎn)型而來,其軟件和安全技術(shù)相對欠成熟,這也可能帶來“不修復(fù)或延遲修復(fù)”情況。
對此,360安全大腦給出6項安全建議:產(chǎn)品上市前應(yīng)與專業(yè)安全產(chǎn)商、安全機(jī)構(gòu)合作,進(jìn)行充分的安全檢測;建立和健全產(chǎn)品更新機(jī)制,產(chǎn)品投入市場后定期更新維護(hù)產(chǎn)品,提供完備的用戶服務(wù);產(chǎn)品在設(shè)計時,就應(yīng)置入安全模塊,在整體產(chǎn)品設(shè)計架構(gòu)中充分考慮安全性;使用開源軟件開發(fā)的系統(tǒng),應(yīng)該在使用之前進(jìn)行源代碼安全檢測;密切關(guān)注CNVD、補天等第三方漏洞平臺的安全通報,第一時間發(fā)現(xiàn)相關(guān)安全漏洞并修復(fù);產(chǎn)品設(shè)計弱口令修改提醒功能,向用戶警示安全風(fēng)險,督促用戶盡快修改初始密碼。
2019年IoT設(shè)備相關(guān)漏洞增長率逾28% ,遠(yuǎn)超整體漏洞增長率
美國國家信息安全漏洞庫披露的近5年的漏洞數(shù)據(jù)顯示,與IoT設(shè)備相關(guān)的漏洞增長率遠(yuǎn)高于漏洞整體增長率。
以2017年為例,全網(wǎng)安全漏洞增長率為18.3%,但I(xiàn)oT設(shè)備的漏洞增長率高達(dá)33%,高于全網(wǎng)漏洞增長率14.7%。
360安全大腦根據(jù)2017年與2018年的數(shù)據(jù)保守預(yù)測,如果不采取有效措施提高IoT設(shè)備安全性,2019年,與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長,安全形勢不容樂觀。
近些年,IoT安全事件頻發(fā)。
2016年10月發(fā)生的美國斷網(wǎng)事件,實際上就是由一個名為Mirai的僵尸網(wǎng)絡(luò)控制全球89萬個IoT設(shè)備(主要是智能攝像機(jī)),對美國DNS解析服務(wù)商Dyn發(fā)動DDoS攻擊所引起的。這一事件大大改變了人們對IoT安全的認(rèn)知:物聯(lián)網(wǎng)設(shè)備、智能家居的安全漏洞原來不僅僅是會威脅個人隱私,只要數(shù)量足夠多,也會威脅國家安全。
2017年3月,Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數(shù)據(jù)泄露,涉及玩具錄音、MongoDB泄露的數(shù)據(jù)、220萬賬戶語音信息等;今年8月,美敦力公司(Medtronic)心臟起搏器被曝出安全漏洞,攻擊者可以遠(yuǎn)程操控心臟起搏器,直接危及使用者生命安全。
不僅如此,自2017年下半年以來,挖礦木馬的流行也擴(kuò)散到了IoT領(lǐng)域,大量的IoT設(shè)備被黑客批量掃描控制,進(jìn)行挖礦活動。只要聯(lián)網(wǎng)的IoT設(shè)備存在遠(yuǎn)程漏洞,都有可能被攻擊者所控制。而如智能電視、電視盒子等網(wǎng)絡(luò)設(shè)備的安全漏洞,也使攻擊者有可能通過遠(yuǎn)程攻擊竊取和監(jiān)控用戶上網(wǎng)信息,甚至盜取用戶上網(wǎng)帳號。
在此次報告發(fā)布的同時,360也發(fā)布了 IoT安全生態(tài)守護(hù)計劃。據(jù)悉,360在IoT安全方面已有多年積累,具備IoT安全感知能力,能做到對漏洞監(jiān)測和預(yù)警。360愿意將IoT安全防御方面的經(jīng)驗、數(shù)據(jù)、技術(shù)、能力開放出來,與大家進(jìn)行合作,向生態(tài)廠商開放,攜手多方共同打造IoT安全生態(tài)。