在安全社区,工程师门对物联网(IoT)有其自己的名称。他们称其为“不安全物联网”。
“在未来,甚至灯泡都将通过WiFi控制,”IEEE的高级会员和北爱尔兰阿尔斯特大学的高级计算机科学讲师KevinCurran说,“以后,人们将不得不更新他们的灯泡。他们准备好了吗?”
人们并不担心他们的设备,这才是真正的安全风险。智能婴儿监视器、网络摄像头、家庭安全系统、恒温器、冰箱和可穿戴式设备都是极易受到安全漏洞攻击的小型特洛伊木马。未来这些影响范围非常广,甚至延伸至广告欺诈。
当消费者忘记更新他们的物联网设备时,可能就是问题开始的时候,而且极有可能。许多设备甚至无法安全运行,因为其内存空间有限且处理器很慢,Curran说。
“此类设备给网络罪犯留下了安装脚本的场所,他们借此进入网络,”Curran说。“这是挂在低处的水果。随着时间的推移,漏洞利用会愈加完善。而插件越多,人们就越懒得更新它们。”
这简直就是通往物联网敞开后门的智能红地毯。
甚至有一个叫Shodan的网站,允许访客搜索连接到互联网的任何设备以及相关联的IP地址和默认密码,消费者往往忽略更改密码。这个网站好比是物联网界的谷歌。
而且因为万物相连,甚至有可能链接到广告欺诈。“如果你有一台能够生成可视展现数和穿过所有设备隧道的中心计算机,即使一个浏览器没有设置,也可将其转化为一个开放的代理,” Forensiq创始人兼首席执行官 DavidSendroff说。“全国和全球各地都有IP地址被用于欺诈。物联网只是代理的一个新出口。”
在安全社区还有另一种说法,Curran说:“如果你想要安全地在线,就别买电脑,如果你买了一台电脑,不要插电源。”否则,只要使用设备,必定会被利用。
虽然可信赖问责组织(TrustworthyAccountability Group,由IAB、ANA和4A组成的行业内反欺诈联盟)尚未对物联网做出正式的评论,但其主要聚焦领域之一就是恶意软件。
“罪犯通过恶意代码段传播恶意软件,通常是通过广告,然后接管人们的电脑并创建僵尸网络,”TAG总裁兼首席执行官Mike Zaneis说。“他们从那里可以生成他们想要的任何级别的欺诈性流量,并将流量推送到其自己的网站,这些网站通常充斥大量盗版内容。”
从理论上讲,这类活动不会局限于网络广告领域。
“试想这样一个可怕场景:有人购买了某一特定型号家庭路由器的零日漏洞,如果他们有正确的网卡、桌面计算机上的软件且能连接到互联网,就有可能扫描数十亿的IP地址以找到这些设备,然后他们以每天一百万的速度安装一个无界面浏览器,借此实施广告欺诈,并且赚得盆满钵满,”Forensiq首席科学家Mike Andrews说。
Curran说得更直白:“在未来,当烤箱连接到互联网时,你怎么知道它们不会运行一个僵尸网络呢?”
当然,众所周知,骗子跟着钱走,这就是物联网欺诈以后面临的场景。MediaTrust的首席风险官Alex Calic说他的团队已经注意到“一些早期活动,这使我们意识到坏人正测试通过这些平台能得到些什么。”
Media Trust运营一个恶意软件监测网络。虽然其大部分业务是密切关注网络,但联网电视和游戏控制台也是其业务范围的一部分。
“智能电视内部装有应用程序,对罪犯而言,这是一片广阔的运动场,他们能大展身手,”Calic说。“随着广告科技生态系统变得更加成熟和智能以及更加擅长在电视和设备中投放广告,你就会看到恶意软件开始扩散。”
有两种基本类型的安全入侵,Calic说。一种是人们试图侵入一个特定的网络或平台。另一种是使用第三方代码进入这些环境。“广告技术是目前最大的第三方代码——注册自助式服务,你会很快通过生态系统获得恶意软件,”Calic说。“广告技术会将网络罪犯带到那些新环境中。这比蛮力攻击更加简单。”
本文转自d1net(转载)
