近日,安全公司rapid7在對9個嬰兒螢幕進行測試之後,發現其中8個在測試中存在初級的安全問題。這充分表明了目前的物聯網裝置制造商在安全方面仍有很大的成長空間,也就是說,在安全方面他們還需要很長的時間去探索。
随着目前越來越多的消費裝置接入到網際網路中,越來越多的由于設計缺陷而導緻的安全漏洞也不斷浮出,這不但使得這些裝置極易受到攻擊,并且,實際情況表明針對此類裝置的攻擊已經越來越多。
例如,在上文所提到的rapid7對9個嬰兒螢幕的測試中,rapid7便發現了10個嚴重的漏洞,其中有5個是供應商所留下的後門。具體來說,裝置制造公司在裝置中建立了一個計分卡的安全設計,但隻需要鍵入一個“d”便可使任意人進入該裝置。
而在rapid7全球服務的進階安全顧問mark stanislav看來,沒有一個供應商會在其産品所采取的安全措施方面做宣傳,或者說這樣的情況是極為少見的。而作為一個約從50美元到250美元價格不等的裝置而言,這樣的标價幾乎與安全性沒有任何的聯系。 “作為一個消費者,要想知道你所購買的商品是不是安全的,這是非常困難的。” mark stanislav說道:“不幸的是,從物聯網的安全現狀來看,目前的情況并不值得我們樂觀”。
連接配接裝置,也被稱為物聯網,正越來越受到安全研究人員的關注。而通常情況下,安全研究人員都會從其中發現重大安全漏洞。今年2月,惠普公司的安全部門便發現,物聯網安全系統存在明顯的漏洞,當使用者未使用裝置時同樣會面臨被攻擊的風險。而在去年,賽門鐵克和rapid7也釋出了類似的研究,發現在衆多的物聯網裝置中都存在安全漏洞。
在最新的研究中,rapid7分析了來自8個不同供應商的9個不同的運作模式的嬰兒螢幕,并發現其中存在的重大漏洞可能允許攻擊者通路螢幕或通過代碼操作讓裝置實際運作。在這些裝置中,伺服器支援了一個在裝置使用中可預見的url,攻擊者可以很容易地進入并修改其他賬戶持有人的資訊。這一設計方式在實時通路視訊時也同樣會導緻第二個可被攻擊之處,因為供應商是将實時視訊服務托管在公共網絡上的。第三個漏洞發生在服務支援相對較差的情況下,當使用者在與親朋好友分享視訊時,可導緻視訊流被攻擊者任意通路。
rapid7為所測試的裝置是否具有安全特性進行了評比打分,這些安全特性包括:裝置的本地和網絡通信是否使用了ssl加密、裝置是否存在任何潛在的後門、是否隐藏賬戶或已知的漏洞等等。在滿分為100分的情況下,測試結果表明有8個裝置分數在0到50之間,未通過安全測試。而唯一勉強算是通過測試的裝置也隻有64分。
“比分的結果比更多的工程實踐更加能夠表明,物聯網安全的決定性的因素還是在于産品的設計階段和實作階段。” mark stanislav說道。
作者:藍雨淚
來源:51cto