未来很长一段时间,物联网安全威胁都将是最大的安全威胁之一,物联网安全支出在信息安全整体市场的占比也将快速提升,根据赛迪顾问《2019中国网络安全发展白皮书》,2018年中国物联网安全市场规模达到 88.2 亿,增速高达 34.7%,明显高于行业平均增速。
回顾 2019 年,设备安全依然是 2019 年物联网安全的焦点问题:从智能家居设备中的隐私问题到僵尸网络,乃至全球范围内基于物联网僵尸网络发动的分布式拒绝服务 (DDoS) 攻击。
以下是 2019 年值得关注的十大物联网安全(系列)事件:
一、物联网设备的系统性安全缺陷和隐私风险
2019 年 1 月份,安全研究人员发现沃尔玛和百思买等大型零售商销售的热门联网或智能家居设备普遍存在严重安全漏洞和隐私问题(上图)。送检的12种不同的物联网设备均发现安全问题,包括缺少数据加密和缺少加密证书验证。这些设备包括来自不同制造商的智能相机、智能插头和安防产品,包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。这次安全 “体检” 为整个物联网行业敲响了警钟。
二、酒店偷拍摄像头引发全民恐慌
2019 年,国内影响最大物联网安全事件非酒店偷拍莫属。过去两年间酒店偷拍事件层出不穷,从单体民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免,甚至前合肥市公安局长都曾中招。对于有隐私洁癖的用户来说,几乎到了要背帐篷去酒店野营的地步了。
面对日益高涨的个人隐私保护需求,各路安全厂商和创业公司纷纷行动起来。
2018 年安全牛曾经报道过最早的一个酒店防偷拍开源硬件项目 Cyborg Unplug(开源地址:https://github.com/JulianOliver/CyborgUnplug),实际上是一个 VPN 路由器,能够扫描并踢掉同网段的偷拍摄像头。
除了爆火的 Ping 之外,百度安全 app 和 360 手机卫士都推出了 “偷拍检测” 功能,但是 APP 端检测的一个弊端是智能检测同局域网 (WiFi) 段的偷拍摄像头,对于独立联网和离线摄像头无能为力,并不能做到百分之百的靠谱,充其量只能算是辅助措施,消费者需要对此有足够清醒的认识,必要的时候人肉排查+超轻双人帐篷依然是终极方案。
三、震惊全美的Ring智能门铃和安防监控头丑闻
除了酒店,家庭监控摄像头也不省心。2019 年末,亚马逊旗下的 Ring 的隐私问题和安全丑闻激增,并且仍在持续发酵中。
作为全球最火的家庭安防硬件产品之一—— Ring 曝出安全漏洞,黑客可以监控用户家庭,而且 Ring 还会暴露用户的 WiFi 密码。大量用户投诉自己的私生活被黑客传到网上,甚至还有黑客通过 Ring 摄像头跟摇篮里的婴儿打招呼。
更糟糕的是,Ring 的隐私政策也成了众矢之的。Ring 承认与美国 600 多个警察部门合作,提供用户视频。11 月份一些美国参议员要求亚马逊披露如何确保 Ring 家庭摄像头的安全性,以及都有谁可以访问这些录像。
四、安全漏洞迭出,智能门锁遭遇安全危机
研究人员在智能门锁 Smart Deadbolts 中发现了一种流行的智能锁漏洞,攻击者可以利用这些漏洞远程打开门并闯入房屋。智能锁的制造商 Hickory Hardware 已将补丁程序部署到了 Google Play 商店和 Apple App Store 上受影响的应用程序。这只是 2019 年众多智能门锁安全漏洞的冰山一角。
6 月,研究人员警告说,U-tec 制造的智能门锁 Ultraloq 出现故障,攻击者可以追踪该设备的使用地点并完全控制该锁。
7 月,两位安全研究人员发现了 ZipaMicro 智能家居三个安全漏洞,如果把它们连接在一起就可能会被滥用,而结果就是导致用户家的智能门锁会被轻易打开。(下图)
国内方面,2018 年国内智能门锁品牌已超过 3500 个,2019 年市场规模有望突破 200 亿元(是的,你没看错,一个小小的智能门锁价值堪比全国信息安全市场的半壁江山了)。虽然经历年初央视曝光 “小黑盒”、APP 远程控制漏洞,但是国内智能门锁硬件、软件、云端等各个攻击面的安全问题并未得到更多用户的重视。相关的安全开发、安全测试检测(包括白帽子漏洞发掘)、技术标准和规范相对滞后。
一个比较亮眼的进步是 12 月 20 日腾讯发布了《腾讯智能门锁安全技术要求》,从智能门锁的终端、通信及云平台三个层面出发,阐述系统安全等十五项安全技术要求。《要求》中还构建了智能门锁安全等级体系,为业内厂商、机构和用户对智能门锁安全水平的测评提供了一整套操作流程标准。但是考虑到腾讯也是智能家居和智能门锁市场中的 “玩家”,由腾讯制定的安全标准能否得到广大智能门锁厂商的认同和支持,目前还有待观察。
五、导致物联网设备大规模“变砖”的恶意软件
6 月份,一名 14 岁的黑客使用一种名为 Silex 的恶意软件来欺骗多达 4,000 个不安全的物联网设备,然后突然关闭了其命令和控制服务器。Silex 将不安全的 IoT 设备作为攻击目标,使其瘫痪(类似2017年的 BrickerBot 恶意软件一样)。Silex 专门针对运行 Linux 或 Unix 操作系统,采用默认或者已知密码的的物联网 (IoT) 设备,破坏设备的磁盘分区,删除其防火墙和网络配置,并最终使其完全 “变砖”。
六、200万物联网摄像头“裸奔”
联网摄像头是蓬勃发展的智慧城市的关键组件,同时其安全问题的严峻性也日益凸显。
今年 4 月份,安全研究者披露了可能是迄今最为严重的物联网摄像头安全漏洞,受影响监控摄像头数量超过 200 万个,来自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多个摄像头厂商。
这些产品都使用了某国内厂商开发的名为 iLnkP2P 的 P2P 通讯组件。该组件包含两个漏洞,可能使远程黑客能够找到并接管设备中使用的易受攻击的摄像机并监视其所有者。
此外,七月物联网摄像头制造商 Swann 修补了其联网摄像头中的一个漏洞,该漏洞使远程攻击者可以访问其视频源。9 月,多达 80 万个基于 IP 的闭路电视摄像机暴露在零日漏洞攻击之下,该漏洞可能使黑客能够访问监视摄像机,监视和操纵视频源或植入恶意软件。
七、智能玩具不再“好玩”
联网智能玩具仍然不安全。去年 12 月,安全研究人员发现,各种儿童专用的联网玩具存在很多先天性的安全问题,例如缺少设备配对的身份验证,以及联网帐户缺乏加密。在 2019 年美国黑帽大会上,研究人员展示了 LeapPad Ultimate 儿童教育平板电脑的安全检测结果,表示该平板电脑存在许多安全问题,包括允许不良行为者跟踪设备,向孩子发送消息或发起中间人攻击。
Checkmarx 安全研究主管 Erez Yalon 告诉 Threatpost 说:
儿童智能产品制造商需要意识到目标受众没有疑心,天真,更容易错过攻击的简单警告信号。此外,侵犯隐私权给儿童带来的后果可能是灾难性的。因此,一般来说,制造商需要采用最严格的标准。 |
LeapPad 平板电脑的一个应用程序 Pet Chat(宠物聊天)也存在安全问题。Pet Chat 应用程序创建一个 Wi-Fi Ad-Hoc 连接,并使用简单的 SSID “Pet Chat” 广播到附近的其他兼容设备。研究人员能够使用名为 WiGLE 的工具——一个收集不同无线热点信息的网站,在全球范围内将位置和其他信息存储在中央数据库中,以识别平板电脑。
这意味着 “任何人都可以使用 Pet Chat 通过在公共 Wi-Fi 上找到它们,或跟踪其设备的 MAC 地址来识别 LeapPads 的位置。
八、儿童智能手表安全问题爆发
与其他物联网和智能设备类似,儿童智能手表也存在先天性的安全缺陷,例如可以暴露儿童的位置数据和个人信息,从而为各种隐患制造伏笔。
2019 年因安全问题被曝光的智能手表产品包括中国的 M2 智能手表,该智能手表存在的缺陷可能会泄露用户的个人和 GPS 数据,并允许攻击者监听和操纵对话。此外安全研究人员还发现 Smartwatch TicTocTrack 存在大量安全问题,这些问题使黑客能够跟踪和呼叫孩子。
更糟糕的是,与其他智能硬件产品类似,智能手表的安全缺陷很有可能是全行业的系统性风险。
九、智能音箱:大热必死
在亚马逊、谷歌、阿里、百度等各路人工智能厂商数年风风火火的暖场演出后,2019年智能音箱市场终于迎来总爆发。
但在安全问题上,无论是特斯拉电动车还是智能音箱,一旦被信息安全界关注,终究难逃“大热必死“的魔咒。
安全研究人员调查发现亚马逊、谷歌和苹果的智能音箱存在严重的隐私侵犯问题。一份安全报告甚至披露亚马逊雇佣了数千名审计员来收听Echo用户的语音记录。苹果的Siri和Google Home也由于类似的原因而受到抨击,有报道称Google员工可以识别和捕获家庭暴力或机密商务电话的声音。
提到智能音箱的监听问题,安全牛就不得不提一下 Bose 降噪耳机,这款企业高管和商务人士偏爱的差旅神器,也曾因为窃听用户隐私被起诉,指控 Bose 一直在通过 Bose Connect 应用监视用户,并监听用户所有的对话和播放的内容。
总之,音响设备的安全问题和隐私威胁,往往比我们想象的更为可怕。
十、物联网僵尸网络野蛮生长
自从 2014 年从冰箱上发动首个物联网僵尸网络攻击后,臭名昭著的 Mirai IoT 物联网僵尸网络在 2016 年一战成名,通过创记录的 DDoS 攻击冲垮了包括 Twitter、Netflix 和 Github 等多家大型互联网站点,导致 “半个美国掉线”,甚至公有云服务商 Akamai 也迫于 Mirai 的淫威停止了对爆料独立安全博客 KrebsonSecurity 的庇护。
当时,信息安全界和人权组织就曾指出趋势:物联网僵尸网络将取代集权国家成为互联网言论的终极审查者。基于物联网僵尸网络的超大规模 DDoS 攻击,已经展现了自己在言论审查方面的 “威权”,已经远超任何一个国家政府的审查能力。甚至在美国这样一个标榜言论自由的国家,没有人能够保护 Krebs 这样一个享有盛誉的安全技术博客。
2019 年,恐怖的 Mirai 僵尸网络继续保持高速增长,同时也改变了其 TTP(战术、技术和程序)。据研究人员分析,Mirai 的活动在 2018 年第一季度至 2019 年第一季度之间几乎翻了一番。安全分析人员指出,在过去的一年中,Mirai 扩展了其技术,以瞄准更多的处理器和更多的企业级硬件。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】