据科技博客
Re/code
报道,惠普的Fortify应用程序安全部门对市面上最热门的10款消费级智能家居产品进行了研究分析,共发现250种安全漏洞。注意是“种”不是“个”,每款产品的漏洞个数显然会更多。
或许是迫于压力,惠普并没有公布被调查的产品品牌,而只说了它们的种类:它们来自“电视、网络摄像头、家用恒温器、远程电源插座、洒水车控制器、多设备控制中枢器、门锁、家庭警报器、磅秤和车库开门器的制造商”。
以下是惠普的智能家居设备研究报告的部分内容:
- 有8款设备对设备本身或者相应网站要求的密码强度低于“1234”。
- 有7款设备在与互联网或者本地网络进行通讯的时候没有进行加密。
- 有6款设备界面存在安全漏洞,容易受到持续的跨站点脚本攻击。
- 有6款设备在软件升级下载期间没有加密。黑客可以借此伪造软件更新,对设备重新编程,从而控制设备。
- 10款设备中有9款至少收集过某种个人信息:邮箱地址、家庭住址、姓名和出生日期。
此次研究惠普Fortify的研究人员让那些智能家居设备接受Fortify on Demand服务的检测,该服务会对软件的已知和潜在安全问题进行测试。研究方法没有问题,问题在于为什么会有这么多漏洞?这些漏洞可能会造成哪些影响?
漏洞原因
惠普副总裁兼Fortify部门总经理迈克·阿米斯特德(Mike Armistead)认为,该行业的现状是造成这些漏洞的原因:制造商都是着急推出产品抢占市场,而没有做产品的安全保护。
这是厂商的问题,还有系统上的问题。现在智能家居设备所运行的系统是产品这些漏洞的客观原因:这些设备通常都是运行Linux操作系统的精简版本,所以常见于运行Linux的服务器或PC上的基本漏洞它们都会有。
是否严重
当系统本身容易产生漏洞,并且设备制造商并没有像对待传统计算机那样花功夫去加强安全保护时,问题就变得比较严重了:既然有那么多种漏洞,并且很多还是基本漏洞,是不是一款设备受到攻击,设备间的重合漏洞会致使攻击向其它设备蔓延?历史上是有很多先例的,例如黑客通过攻击取暖通风系统,盗取了超过7000万人信息的Target事件,似乎应该让今天的智能家居厂商感到问题的严重性。
市场研究公司Gartner估计,到2020年,个人智能家居设备总装机量将上涨至260亿台。“对于黑客来说,那是巨大的新攻击目标。”但是,一者国内智能家居产品还不够成熟,二者国民对于信息安全的意识普遍薄弱,可以想象国内智能家居产品的安全性,也不容乐观。
本文作者:
阿波罗
本文转自雷锋网禁止二次转载,
原文链接
