1. 设计缺陷
随着物联网的出现和越来越多的网络流量,越来越多的公司将计算机和传感器嵌入到产品中,并将产品连入互联网。如今,计算机和传感器正被植人各种消费设备,甚至包括茶壶和衣服。
在对各种商业机会做出市场反应的过程中,一些制造商在产品上留下了许多安全漏洞。如今,物联网引入了新的可开发的攻击途径,这些攻击点在Web之外扩展到云、不同的OSes、不同的协议以及更多物联网相关配套设施上。于是,我们经常会听到有关新设备由于安全漏洞而受到黑客的攻击的消息。
物联网设备或网络上的数据泄露事件正在变得司空见惯,这很大程度上归因于这样一个事实:许多供应商并没有把安全作为他们的首要任务。当他们的产品出现安全问题时,他们只是认为这是事后需要面对的问题,没有严重损失的情况下,他们并不会主动解决这些问题。
为了研究物联网设备的安全性,赛门铁克(Symantes)研究小组研究了50个常用的智能家居设备。该团队发现:没有一个测试设备允许使用高强度密码,也没有使用相互认证。此外,在这些设备上的用户账号没有受到暴力攻击的保护。他们还发现,在控制这些设备的移动应用程序中,大约10个程序没有使用安全套接层(SSL)来加密设备和云之间的信息交换。这些安全隐患都是因为设备的设计缺陷造成的。
2. 开放式调试接口
通过产品设计保障安全性的重要方法之一是确保攻击面尽可能地最小。但是在生产过程中,物联网网关的制造商仅需要实现必要的接口和协议,从而使物联网设备能够执行其预期的功能,并没有对安全问题做过多考虑。制造商应该对设备上所有接口的服务进行限制,因为在大多数情况下,用户并不需要这些开放的调试接口,甚至没有意识到有这些接口,但是这些开放的调试接口却为恶意实体提供了攻击设备或获取重要信息的机会。恶意攻击者可以远程运行一些有害代码(病毒和间谍软件)在设备上非法获取信息。
为了在物联网中实现设备的安全可靠,设计的安全概念应该优先考虑,避免不必要的安全缺陷。例如,对制造商来说,在产品设计中包含一些阻止非法用户运行恶意代码的机制非常重要。
3. 不适当的网络配置和使用用户默认密码
随着物联网设备的不断增加,越来越多的智能产品进入市场。 TRUST进行的一项调查显示,35%的美国和41%的英国国内在线消费者除了手机之外,至少还拥有一件智能硬件设备。这项调査进一步揭示了最受欢迎的智能设备,包括智能电视(20%)、车载导航系统(12%)、智能手表(5%)和家庭报警系统(49%)。
不幸的是,许多消费者似乎没有意识到物联网的安全性。从一些消费者安装、配置和使用智能设备的方式来看,这一点表现得很明显。例如,些消费者在智能设备上使用默认的密码和设置,这种不小心、不严谨会使他们的网络路由器和智能设备开放给黑客访问。这也是许多智能家庭内部网络配置不良的原因之一。
另一个问题是使用弱密码。在大多数情况下,当用户更改默认密码时他们会使用简单的密码来进行设置。一般来说,只有对安全性有明确意识的用户才可能使用一个长而复杂的密码。此外,许多设备没有键盘,而且由于所有配置都必须远程完成,因此,一些用户不愿意使用安全设置。
攻击者通常会寻找配置不佳的网络和设备来进行攻击。定期更换密码和适当的网络配置非常有必要。
4. 信息储存前未进行加密
众所周知,许多物联网设备,无论使用者是否同意,都确实收集了些个人信息。这些信息可能包括姓名、出生日期、地址、邮编、电子邮件地址、健康信息、社会保险账号,有时甚至是信用卡号码。
数据隐私管理公司( TRUST)在美国对2000名年龄在18~75岁的互联网用户进行了一项在线调査,发现5%的用户意识到智能硬件可以捕捉到他们个人活动的敏感信息。22%的人认为,物联网创新带来的好处和便利值得牺牲他们的隐私信息。令人惊讶的是,14%的人对这些公司收集个人信息感到满意。现在的问题是,这些设备真的需要收集这些个人信息オ能正常工作吗?大多数公司为获取个人用户数据而给出的一个显而易见的理由是,他们需要这样的数据来改善他们的产品。另一个理由可能是,了解有价值的客户的习惯,这样能更好地为客户服务,创造出满足个人需求的新服务。
不管设备收集数据的目的如何,最重要的是确保这些收集到的数据得到很好地保护,无论是存储在设备内部存储器上还是在传输中。到目前为止,加密是保护数据免受未经授权的访问的最佳方法。
虽然加密是保护数据的最佳方法,但在许多物联网设备上实现加密对安全专家来说是一项挑战。例如,在一些物联网设备中使用SSL协议保护通信不是一种好的选择,因为它需要更多的处理能力和内存,这是在物联网硬件这种资源受限设备上非常稀缺的资源。另一个选择是考虑使用虛拟专用网(VPN)隧道,但这需要一个功能齐全的开放移动操作系统(OSes)。