国内首个智能设备安全报告发布 摄像头最不安全(2)
时间:2018-11-28 19:26 来源:网络整理 作者:墨客科技 点击:次
然而,报告通过对流行IoT设备制造商的抽样调查发现,有66.7%的厂商会为部分IoT产品设置安全模块,另有33.3%的厂商则在设计IoT产品时完全不考虑安全问题,不设置安全模块。这种情况在中小厂商和初创厂商中更为普遍。 此外,厂商能否为IoT设备设置高强度的出厂密码,关乎IoT设备安全。360安全大脑监测数据显示,在进行抽样调查的IoT设备中,出厂设置弱密码的设备数量占比高达64.4%,存在较高的被暴力破解风险,危及用户隐私。 约三分之二的厂商,未能在接到第三方报告后,三个月内修复系统漏洞。除安全意识不足的因素外,在IoT行业,很多厂商由硬件厂商转型而来,其软件和安全技术相对欠成熟,这也可能带来“不修复或延迟修复”情况。 对此,360安全大脑给出6项安全建议:产品上市前应与专业安全产商、安全机构合作,进行充分的安全检测;建立和健全产品更新机制,产品投入市场后定期更新维护产品,提供完备的用户服务;产品在设计时,就应置入安全模块,在整体产品设计架构中充分考虑安全性;使用开源软件开发的系统,应该在使用之前进行源代码安全检测;密切关注CNVD、补天等第三方漏洞平台的安全通报,第一时间发现相关安全漏洞并修复;产品设计弱口令修改提醒功能,向用户警示安全风险,督促用户尽快修改初始密码。 2019年IoT设备相关漏洞增长率逾28% ,远超整体漏洞增长率 美国国家信息安全漏洞库披露的近5年的漏洞数据显示,与IoT设备相关的漏洞增长率远高于漏洞整体增长率。 以2017年为例,全网安全漏洞增长率为18.3%,但IoT设备的漏洞增长率高达33%,高于全网漏洞增长率14.7%。 360安全大脑根据2017年与2018年的数据保守预测,如果不采取有效措施提高IoT设备安全性,2019年,与IoT设备相关的漏洞将以28.6%的速度增长,安全形势不容乐观。 近些年,IoT安全事件频发。 2016年10月发生的美国断网事件,实际上就是由一个名为Mirai的僵尸网络控制全球89万个IoT设备(主要是智能摄像机),对美国DNS解析服务商Dyn发动DDoS攻击所引起的。这一事件大大改变了人们对IoT安全的认知:物联网设备、智能家居的安全漏洞原来不仅仅是会威胁个人隐私,只要数量足够多,也会威胁国家安全。 2017年3月,Spiral Toys旗下的CloudPets系列动物填充玩具遭遇数据泄露,涉及玩具录音、MongoDB泄露的数据、220万账户语音信息等;今年8月,美敦力公司(Medtronic)心脏起搏器被曝出安全漏洞,攻击者可以远程操控心脏起搏器,直接危及使用者生命安全。 不仅如此,自2017年下半年以来,挖矿木马的流行也扩散到了IoT领域,大量的IoT设备被黑客批量扫描控制,进行挖矿活动。只要联网的IoT设备存在远程漏洞,都有可能被攻击者所控制。而如智能电视、电视盒子等网络设备的安全漏洞,也使攻击者有可能通过远程攻击窃取和监控用户上网信息,甚至盗取用户上网帐号。 在此次报告发布的同时,360也发布了 IoT安全生态守护计划。据悉,360在IoT安全方面已有多年积累,具备IoT安全感知能力,能做到对漏洞监测和预警。360愿意将IoT安全防御方面的经验、数据、技术、能力开放出来,与大家进行合作,向生态厂商开放,携手多方共同打造IoT安全生态。 (责任编辑:admin) |