物聯網安全之殤：設備制造商安全意識極度匱乏

　　近日，安全公司Rapid7在對9個嬰兒監視器進行測試之后，發現其中8個在測試中存在初級的安全問題。這充分表明了當前的物聯網設備制造商在安全方面仍有很大的成長空間，也就是說，在安全方面他們還需要很長的時間去探索。

　　隨著當前越來越多的消費設備接入到互聯網中，越來越多的由于設計缺陷而導致的安全漏洞也不斷浮出，這不但使得這些設備極易受到攻擊，并且，實際情況表明針對此類設備的攻擊已經越來越多。

　　例如，在上文所提到的Rapid7對9個嬰兒監視器的測試中，Rapid7便發現了10個嚴重的漏洞,其中有5個是供應商所留下的后門。具體來說，設備制造公司在設備中創建了一個計分卡的安全設計,但只需要鍵入一個“d”便可使任意人進入該設備。

　　而在Rapid7全球服務的高級安全顧問Mark Stanislav看來，沒有一個供應商會在其產品所采取的安全措施方面做宣傳,或者說這樣的情況是極為少見的。而作為一個約從50美元到250美元價格不等的設備而言，這樣的標價幾乎與安全性沒有任何的聯系。 “作為一個消費者，要想知道你所購買的商品是不是安全的，這是非常困難的。” Mark Stanislav說道：“不幸的是,從物聯網的安全現狀來看，目前的情況并不值得我們樂觀”。

　　連接設備,也被稱為物聯網,正越來越受到安全研究人員的關注。而通常情況下，安全研究人員都會從其中發現重大安全漏洞。今年2月,惠普公司的安全部門便發現,物聯網安全系統存在明顯的漏洞,當用戶未使用設備時同樣會面臨被攻擊的風險。而在去年,賽門鐵克和Rapid7也發布了類似的研究,發現在眾多的物聯網設備中都存在安全漏洞。

　　在最新的研究中,Rapid7分析了來自8個不同供應商的9個不同的運作模式的嬰兒監視器，并發現其中存在的重大漏洞可能允許攻擊者訪問監視器或通過代碼操作讓設備實際運行。在這些設備中，服務器支持了一個在設備使用中可預見的url,攻擊者可以很容易地進入并修改其他賬戶持有人的信息。這一設計方式在實時訪問視頻時也同樣會導致第二個可被攻擊之處，因為供應商是將實時視頻服務托管在公共網絡上的。第三個漏洞發生在服務支持相對較差的情況下,當用戶在與親朋好友分享視頻時,可導致視頻流被攻擊者任意訪問。

　　Rapid7為所測試的設備是否具有安全特性進行了評比打分,這些安全特性包括：設備的本地和網絡通信是否使用了SSL加密、設備是否存在任何潛在的后門、是否隱藏賬戶或已知的漏洞等等。在滿分為100分的情況下,測試結果表明有8個設備分數在0到50之間，未通過安全測試。而唯一勉強算是通過測試的設備也只有64分。

　　“比分的結果比更多的工程實踐更加能夠表明，物聯網安全的決定性的因素還是在于產品的設計階段和實現階段。” Mark Stanislav說道。