欢迎访问BWIN体育锁业有限公司!

预约上门| 联系BWIN体育

全国24服务热线

400-123-6789
行业新闻 公司新闻
BWIN体育2019年值得关注的十大物联网安全事件
时间:2023-11-12 02:20:49        点击量:【 】次

  BWIN体育2019年值得关注的十大物联网安全事件安全整体市场的占比也将快速提升,根据赛迪顾问《2019中国网络安全发展》,2018年中国物联网安全市场规模达到 88.2 亿,增速高达 34.7%,明显高于行业平均增速。

  回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球范围内基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。

  2019 年 1 月份,安全研究人员发现沃尔玛和百思买等大型零售商销售的热门联网或智能家居设备普遍存在严重安全漏洞和隐私问题。送检的12种不同的物联网设备均发现安全问题,包括缺少数据加密和缺少加密证书验证。这些设备包括来自不同制造商的智能相机、智能插头和安防产品,包括 iHome、Merckry、Momentum、Oco、Prcol、TP-Link、Vivitar、Wyze和Zmodo。这次安全 “体检” 为整个物联网行业敲响了警钟。

  2019 年,国内影响最大物联网安全事件非酒店莫属。过去两年间酒店事件层出不穷,从单体民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免,甚至前合肥市公安局长都曾中招。对于有隐私洁癖的用户来说,几乎到了要背帐篷去酒店野营的地步了。

  面对日益高涨的个人隐私保护需求,各路安全厂商和创业公司纷纷行动起来。除了爆火的Ping 之外,百度安全 app 和 360手机卫士都推出了 “检测” 功能,但是 APP 端检测的一个弊端是智能检测同局域网 (WiFi) 段的摄像头,对于独立联网和离线摄像头无能为力,并不能做到百分之百的靠谱,充其量只能算是辅助措施,消费者需要对此有足够清醒的认识,必要的时候人肉排查+超轻双人帐篷依然是终极方案。

  除了酒店,家庭监控摄像头也不省心。2019 年末,亚马逊旗下的 Ring 的隐私问题和安全丑闻激增,并且仍在持续发酵中。

  作为全球最火的家庭安防硬件产品之一—— Ring 曝出安全漏洞,黑客可以监控用户家庭,而且 Ring 还会暴露用户的 WiFi 密码。大量用户投诉自己的私生活被黑客传到网上,甚至还有黑客通过 Ring 摄像头跟摇篮里的婴儿打招呼。

  更糟糕的是,Ring 的隐私政策也成了众矢之的。Ring 承认与美国 600 多个部门合作,提供用户视频。11 月份一些美国参议员要求亚马逊披露如何确保 Ring 家庭摄像头的安全性,以及都有谁可以访问这些录像。

  研究人员在智能门锁 Smart Deadbolts 中发现了一种流行的智能锁漏洞,攻击者可以利用这些漏洞远程打开门并闯入房屋。智能锁的制造商 Hickory Hardware 已将补丁程序部署到了 Google Play 商店和 Apple App Store 上受影响的应用程序。这只是 2019 年众多智能门锁安全漏洞的冰山一角。

  6 月,研究人员警告说,U-tec 制造的智能门锁 Ultraloq 出现故障,攻击者可以追踪该设备的使用地点并完全控制该锁。

  7 月,两位安全研究人员发现了 ZipaMicro 智能家居三个安全漏洞BWIN体育,如果把它们连接在一起就可能会被滥用,而结果就是导致用户家的智能门锁会被轻易打开。(下图)

  国内方面,2018 年国内智能门锁品牌已超过 3500 个,2019 年市场规模有望突破 200 亿元(是的,你没看错,一个小小的智能门锁价值堪比全国信息安全市场的半壁江山了)。虽然经历年初央视曝光 “小黑盒”、APP 远程控制漏洞,但是国内智能门锁硬件、软件、云端等各个攻击面的安全问题并未得到更多用户的重视。相关的安全开发、安全测试检测(包括白帽子漏洞发掘)、技术标准和规范相对滞后。

  一个比较亮眼的进步是 12 月 20 日腾讯发布了《腾讯智能门锁安全技术要求》,从智能门锁的终端、通信及云平台三个层面出发,阐述系统安全等十五项安全技术要求。《要求》中还构建了智能门锁安全等级体系,为业内厂商、机构和用户对智能门锁安全水平的测评提供了一整套操作流程标准。但是考虑到腾讯也是智能家居和智能门锁市场中的 “玩家”,由腾讯制定的安全标准能否得到广大智能门锁厂商的认同和支持,目前还有待观察。

  6 月份,一名 14 岁的黑客使用一种名为 Silex 的恶意软件来欺骗多达 4,000 个不安全的物联网设备,然后突然关闭了其命令和控务器。Silex 将不安全的IoT设备作为攻击目标,使其瘫痪(类似2017年的 BrickerBot 恶意软件一样)。Silex 专门针对运行Linux或 Unix操作系统,采用默认或者已知密码的的物联网 (IoT) 设备,破坏设备的磁盘分区,删除其防火墙和网络配置,并最终使其完全 “变砖”。

  这些产品都使用了某国内厂商开发的名为 iLnkP2P 的 P2P 通讯组件。该组件包含两个漏洞,可能使远程黑客能够找到并接管设备中使用的易受攻击的摄像机并监视其所有者。

  此外,七月物联网摄像头制造商 Swann 修补了其联网摄像头中的一个漏洞,该漏洞使远程攻击者可以访问其视频源。9 月,多达 80 万个基于 IP 的闭路电视摄像机暴露在零日漏洞攻击之下,该漏洞可能使黑客能够访问监视摄像机,监视和操纵视频源或植入恶意软件。

  联网智能玩具仍然不安全。去年 12 月,安全研究人员发现,各种儿童专用的联网玩具存在很多先天性的安全问题,例如缺少设备配对的身份验证,以及联网帐户缺乏加密。在 2019 年美国黑帽大会上,研究人员展示了 LeapPad Ultimate 儿童教育平板电脑的安全检测结果,表示该平板电脑存在许多安全问题,包括允许不良行为者跟踪设备,向孩子发送消息或发起中间人攻击。

  LeapPad 平板电脑的一个应用程序 Pet Chat(宠物聊天)也存在安全问题。Pet Chat 应用程序创建一个Wi-FiAd-Hoc 连接,并使用简单的 SSID “Pet Chat” 广播到附近的其他兼容设备。研究人员能够使用名为 WiGLE 的工具——一个收集不同无线热点信息的网站,在全球范围内将位置和其他信息存储在中央数据库中,以识别平板电脑。

  这意味着 “任何人都可以使用 Pet Chat 通过在公共 Wi-Fi 上找到它们,或跟踪其设备的 MAC 地址来识别 LeapPads的位置。

  与其他物联网和智能设备类似,儿童智能手表也存在先天性的安全缺陷,例如可以暴露儿童的位置数据和个人信息,从而为各种隐患制造伏笔。

  2019 年因安全问题被曝光的智能手表产品包括中国的 M2 智能手表,该智能手表存在的缺陷可能会泄露用户的个人和 GPS 数据,并允许攻击者和操纵对话。此外安全研究人员还发现 Smartwatch TicTocTrack 存在大量安全问题,这些问题使黑客能够跟踪和呼叫孩子。

  在亚马逊、谷歌、阿里、百度等各路人工智能厂商数年风风火火的暖场演出后,2019年智能音箱市场终于迎来总爆发。

  但在安全问题上,无论是特斯拉电动车还是智能音箱,一旦被信息安全界关注,终究难逃“大热必死“的魔咒。

  安全研究人员调查发现亚马逊、谷歌和苹果的智能音箱存在严重的隐私侵犯问题。一份安全报告甚至披露亚马逊雇佣了数千名审计员来收听Echo用户的语音记录。苹果的Siri和Google Home也由于类似的原因而受到抨击,有报道称Google员工可以识别和捕获家庭暴力或机密商务电话的声音。

  除此之外,企业高管和商务人士偏爱的差旅神器Bose 降噪耳机,也曾因为用户隐私被起诉,指控 Bose 一直在通过 Bose Connect 应用监视用户,并用户所有的对话和播放的内容。

  自从 2014 年从冰箱上发动首个物联网僵尸网络攻击后,臭名昭著的 Mirai IoT 物联网僵尸网络在 2016 年一战成名,通过创记录的 DDoS 攻击冲垮了包括 Twitter、Netflix 和 Github 等多家大型互联网站点,导致 “半个美国掉线”,甚至公有云服务商 Akamai 也迫于 Mirai 的淫威停止了对爆料独立安全博客 KrebsonSecurity 的庇护。

  当时,信息安全界和组织就曾指出趋势:物联网僵尸网络将取代集权国家成为互联网言论的终极审查者。基于物联网僵尸网络的超大规模 DDoS 攻击,已经展现了自己在言论审查方面的 “威权”,已经远超任何一个国家政府的审查能力。甚至在美国这样一个标榜言论自由的国家,没有人能够保护 Krebs 这样一个享有盛誉的安全技术博客。

  2019 年,恐怖的 Mirai 僵尸网络继续保持高速增长,同时也改变了其 TTP(战术、技术和程序)。据研究人员分析,Mirai 的活动在 2018 年第一季度至 2019 年第一季度之间几乎翻了一番。安全分析人员指出,在过去的一年中,Mirai 扩展了其技术,以瞄准更多的处理器和更多的企业级硬件。

  就在不久之前,“物联网安全” 这个术语听起来还有点自相矛盾。但现在,对物联网安全重要性的认知已经达到了空前的高度。联网设备如今已渗透到我们生活的方方面面,从家居到工厂无处不在,恶意黑客如今手握大把形形色色的终端目标。

  2020 年,智能楼宇安全问题可能会成为设施管理者的首要考虑。Gartner 的调查研究表明,2020 年,80% 的联网设备与楼宇相关,智能楼宇为对手提供了新的攻击途径。但在明年此类攻击会不会大幅增加的问题上,专家们意见不一。Honeywell Building Solutions 网络安全全球总监 Mirel Sehic 预期会出现大幅增长。攻击者可能将楼宇管理系统作为跳板,用以获取 IT 数据,以及操纵建筑控制。

  2013 年塔吉特信用卡数据泄露后,联网楼宇系统的前景就成了主要的网络安全顾虑。该事件中,塔吉特的暖通空调供应商被入侵,攻击者能够进入其内部网络,包括其支付系统。仅此一项,黑客就卷走了 4,000 万信用卡号。

  2019 年时,5G 看起来还只是理论上的可能性。上半年,5G 在商展和个别地区展示性现身,但现在,电信公司纷纷开始推出他们的 5G 网络。

  到 2020 年,随着 5G 部署持续推出BWIN体育,攻击亦将接踵而至。5G 最终成为基础协议的前景意味着,从监视和交通摄像头到车辆的所有东西都会通过该协议连接。这就有可能给攻击者提供瘫痪社区、城市甚至整个国家的康庄大道了。5G 还可以为主要使用不同无线协议的设备提供连接。比如,5G 可以作为 LPWAN 设备接入云端的回传线路。

  工业领域。将 5G 用于关键工业过程,产生切实业务影响,是颇具风险的提议。对此,PAS Global 首席信息安全官 Jason Haward-Grau 表示:很多工业环境都部署着过时的遗留设备。恶意黑客将开始针对这些环境,带来严重后果,比如对配置的非授权修改——可致工业过程未按既定方式运转,因而造成工业事故、断电,甚至环境灾难。

  电子邮件中对媒体说道:“2020 年,随着这些框架和标准的逐步采纳,网络风险将会减小。但是,公司企业采纳和验证这些框架与标准需要消耗一些资源,会增加工业网络安全开支与复杂性。由于标准和框架的采纳相对不成熟,公司企业可能需要评估多个框架采纳情况,由此,进一步增加成本与复杂性。”

  Arm物联网服务小组策略副总裁 Charlene Marini 认为,鉴于物联网安全所获得的关注度,情况正在不断改善。她在邮件中透露:物联网设备制造商和联网设备部署者会设置功能升级计划,确保物联网系统的安全。

  标签被拍到了几乎所有东西上,其中很多不过是决策树、算法或软件。当然,这并不是说AI没有巨大的潜力。但真正的术语 “AI” 某种程度上成了没什么特指的潮词。

  传感器监视机器健康状况的公司,其策略副总裁 Artem Kroupenev 对 AI 在网络安全领域的前景保持乐观。考虑到AI当前的成熟度,为特定用例精心设计的产品BWIN体育,会比采用通用方法制造的产品更加有效。

Copyright © 2012-2023 BWIN·必赢(中国)唯一官方网站 版权所有 Powered by EyouCmsHTML地图 XML地图txt地图         

x
现在留言,无需等待!

收到你的留言,我们将第一时间与你取得联系