研究人员发现物联网存在安全漏洞

简介: 研究人员发现物联网存在安全漏洞

image.png

日前,密歇根大学和石溪大学的研究人员发表了一篇文章,解释了一种关于物联网安全挑战的新方法。研究人员提出了这个问题:“当我们谈论物联网时,安全科学中有什么新的智力挑战?我们可以使用目前已知的安全技术来解决什么问题?”

 

这种研究方法很容易获得,因为它通过智能手机、个人计算机和云计算的安全方法的比较,利用现有的类别和概念来识别对物联网安全的差距和挑战。物联网堆栈是用熟悉的层进行定义的:

 

• 硬件

 

• 系统软件

 

•网络

 

•应用程序层运行自定义代码

 

受限的硬件层


硬件层受到低性能8位和16位微控制器和低功耗设计的限制。根据爱尔兰戈尔韦大学Peter Cocoran博士的说法,如果思科公司报告对于物联网设备的估计到2020年将达500亿台,而还是使用当今的技术,那么所有信息通信技术设备使用的电力将翻一番。

 

物联网设备的设计通常由微控制器供电,与微处理器相比,功能较弱,缺乏硬件安全功能。但它们非常适合于物联网设备,因为应用程序不需要微处理器的计算能力,它们消耗更少的电力,并且它们的成本只是微处理器的一小部分。

 

微控制器硬件架构更简单,使得建立安全性方法变得具有挑战性。在生产制造过程中,访问设计的攻击者可以注入可以翻转微控制器特权位的模拟组件,以引入恶意软件。许多这些设备缺乏网络安全所需的准确时钟。而目前仍然处于实验阶段的算法计时方法可能是一个解决方案。

 

大多数微控制器设计省略了一个内存管理单元(MMU)。这将挑战流程隔离的实现,将物联网设备打开,从另一个进程的一个进程中利用错误来执行恶意代码。这种利用可能会加载恶意软件或升级其他良性隔离应用程序的权限,以执行恶意代码。

 

微控制器的计算限制可防止允许不可更改的加密密钥被烧录并安全存储的硬件机制。在较大的系统中,这些密钥使设备在网络上唯一受信任,并且能够进行安全引导,每个操作系统组件都以引导加载程序开始,确认下一个模块已加载。

 

这些硬件漏洞具有防御性。低级硬件验证可用于证明微控制器不包括可能被恶意攻击的组件。并且已经构建了实验操作系统软件来探索基于语言的隔离和存储器保护的组合,以在不添加MMU的情况下执行类似的过程隔离。


访问控制


研究人员对三星SmartThings 物联网平台进行了经验性的安全分析,发现系统级访问控制可能会受到影响,以执行特权利用的提升。权限提升将使进程能够读取和写入内存或通信端口,否则将被限制或加载恶意软件代码。正确实施的访问控制可以通过使用唯一的永久令牌将可执行代码列入白名单来防止漏洞利用。

 

信息流控制


信息流控制(IFC)更容易被理解为限制信息流的细粒度策略。来自自动驾驶汽车或亚马逊Alexa或谷歌家庭设备的数据应该可以路由在哪里?研究人员表示,这些研究较少研究其隐私保护措施。

 

更新升级


通过定期更新升级,智能手机,个人电脑和云端的安全漏洞可以得到保护。对于物联网设备,这带来了问题。控制关键网络元件的物联网设备可能必须脱机断网才能重新启动,并且更新的设备可能需要重新验证才能实现安全合规性。某些设备可能没有更新升级方法,因为它们没有通过能够更新的网络层连接或可能根本没有连接。

 

安全认证


许多物联网设备没有用于认证的通用I / O外围设备,通过密码,并且向密码认证系统添加500亿个设备,这些系统在可行性方面已经出现漏洞,这可能不是最好和最安全的方法。也许对于物联网来说,需要新的设计方案。

 

网络层的多样性和约束

与互联网相比,由于技术的发展,物联网的网络层具有多种连接和协议。其成本和功率的限制也会造成问题。例如,蓝牙(BLE)只能扫描断开的设备。一个蓝牙物联网设备必须被取消一个服务以连接到另一设备,例如软件更新。部分解决方案是重新使用Wi-Fi技术,这增加了成本和Wi-Fi的电力预算。

 

机器学习安全

 

用于控制物联网设备的机器学习算法可能会受到人们所不了解的改变数据输入的攻击,从而导致意想不到的后果。研究人员就例举了自动驾驶汽车的摄像头被篡改,产生一个屈服标志代替停车标志的一个例子。

 

独特的物联网功能适用于新的安全方法

 

独特的功能,例如网络异常检测,可以增加在大型系统中不可能实现的安全功能。由于流量模式的多样性和连接的多样性,很难在已建立的平台中定义TCP / IP网络中的正常流量。鉴于物联网网络中的较低的流量和应用特定类型的流量,定义正常流量和检测异常应该更容易。

 

另外,由于许多物联网设备控制物理设备,还有其他通道来关联正确的操作,例如感知在特定时间关闭车库门的声学模式。

 

随着时间的推移,智能手机,个人电脑和云平台的安全防御将会更加全面。而物联网设备的物理控制限制了物联网系统必须达到稳定性的时间。

相关实践学习
钉钉群中如何接收IoT温控器数据告警通知
本实验主要介绍如何将温控器设备以MQTT协议接入IoT物联网平台,通过云产品流转到函数计算FC,调用钉钉群机器人API,实时推送温湿度消息到钉钉群。
阿里云AIoT物联网开发实战
本课程将由物联网专家带你熟悉阿里云AIoT物联网领域全套云产品,7天轻松搭建基于Arduino的端到端物联网场景应用。 开始学习前,请先开通下方两个云产品,让学习更流畅: IoT物联网平台:https://iot.console.aliyun.com/ LinkWAN物联网络管理平台:https://linkwan.console.aliyun.com/service-open
相关文章
|
3月前
|
物联网 5G
【2022年无线通信和与物联网专场】东南大学尤肖虎教授-超高可靠、超低时延5G/6G移动通信基础理论研究与发展
东南大学尤肖虎教授在2022年无线通信和物联网专场中就超高可靠、超低时延的5G/6G移动通信基础理论研究与发展的讲座内容。
59 3
|
5月前
|
传感器 安全 物联网
物联网技术在智能家居安全中的研究与应用
物联网技术在智能家居安全中的研究与应用
131 0
|
物联网 数据挖掘
传感与检测技术,光电二极管和光敏电阻的特性研究实验报告,江南大学物联网工程学院自动化
传感与检测技术,光电二极管和光敏电阻的特性研究实验报告,江南大学物联网工程学院自动化
265 2
传感与检测技术,光电二极管和光敏电阻的特性研究实验报告,江南大学物联网工程学院自动化
|
机器学习/深度学习 人工智能 编解码
深度学习在机器视觉应用领域的最新研究综述(物联网技术应用大作业)
深度学习在机器视觉应用领域的最新研究综述(物联网技术应用大作业)
461 0
|
弹性计算 运维 监控
洛神研究所(第三期)丨物联网的上云之路
随着经济社会数字化转型和智能升级步伐加快,物联网已经成为新型基础设施的重要组成部分。受益于云计算和物联网的高速发展,云连接器应运而生,实现云网络和移动物联网(也称之为蜂窝物联网)的融合。
397 14
洛神研究所(第三期)丨物联网的上云之路
|
传感器 人工智能 监控
冠状肺炎与树莓派:研究人员将物联网技术应用于疾病检测
UMass的研究人员说,Raspberry Pi边缘设备可以帮助识别人群中的类似流感的症状,从而扩大了可用于跟踪疾病传播的工具范围。
407 15
冠状肺炎与树莓派:研究人员将物联网技术应用于疾病检测
|
存储 监控 供应链
“物联网+区块链”市场研究报告出炉,竟有这么多企业已经用起来了?
物联网+区块链可以“链”动资本吗?农业、金融、工业、医疗、民生等应用场景,谁会成为区块链技术的下一个爆点?12月4日,由物联网智库主办的「物联网+区块链在商业场景中智慧融合」主题沙龙在北京召开。来自信通院、蚂蚁金服、摩联科技、IOTA、DU Capital的几位嘉宾从不同维度探讨了区块链与物联网技术的结合。
“物联网+区块链”市场研究报告出炉,竟有这么多企业已经用起来了?
|
物联网 芯片 异构计算
独家发布 | 树莓派4工业物联网应用研究报告
针对官方首次提出进军工业界,定位工业物联网是Raspberry Pi 4的重点推广市场,我们淘系IoT从技术的角度对Raspberry Pi 4是否能应用到工业类产品做了详细评估,一起来看看吧!
5379 0

相关产品

  • 物联网平台