物聯(lián)網(wǎng)設備不斷發(fā)展,但仍然易受攻擊
物聯(lián)網(wǎng)設備在本質(zhì)上就是具有網(wǎng)絡訪問功能的設備,這些設備采用了嵌入技術(shù),設備之間或者設備能夠同外部環(huán)境交互。由于可用設備數(shù)量眾多,物聯(lián)網(wǎng)已成為對網(wǎng)絡犯罪分子非常有吸引力的目標。通過物聯(lián)網(wǎng)設備發(fā)起的攻擊有很多,其中有2016年發(fā)生的利用路由器、IP攝像頭、打印機和其它設備組成的大規(guī)模僵尸網(wǎng)絡發(fā)動的創(chuàng)紀錄的DDoS攻擊。通過成功入侵物聯(lián)網(wǎng)設備,網(wǎng)絡罪犯能夠?qū)τ脩暨M行勒索,或者監(jiān)控用戶。其他攻擊手段可能更危險。例如,您的家庭網(wǎng)絡設備可能被用來進行非法活動,或者網(wǎng)絡罪犯可以獲取物聯(lián)網(wǎng)設備的訪問,勒索用戶,或者對用戶進行監(jiān)控,或者索要錢財。受感染的設備也很容易被損壞,但顯然這并不是最糟糕的事情。
考慮到這一點,卡巴斯基實驗室的研究人員決定了解智能“物聯(lián)網(wǎng)”產(chǎn)品的相關(guān)報道和事件是否已經(jīng)改變了這種情況。為了發(fā)現(xiàn)答案,他們再次分析了幾個隨機選擇的智能設備,包括智能電池充電器、應用控制的玩具車、應用控制的智能秤、智能吸塵器、智能熨斗、IP攝像頭、智能手表和一個智能家庭中心。研究結(jié)果非常令人擔憂:在8款被檢查的設備中,只有1款滿足研究人員的安全要求。
更重要的是,由于設備廠商在密碼設置方面缺乏安全警覺性,使得一半的設備很容易被入侵或破解。這些問題包括擁有默認密碼以及無法更改密碼,有些情況下,甚至整個產(chǎn)品線中所有設備都使用統(tǒng)一的密碼。
卡巴斯基實驗室大中華區(qū)總經(jīng)理鄭啟良表示:“卡巴斯基實驗室多年以來一直在關(guān)注智能設備的網(wǎng)絡安全問題?,F(xiàn)在我們看到,關(guān)于智能“物聯(lián)網(wǎng)”產(chǎn)品的各種報告和產(chǎn)品供應商的警惕性日益提高,幫助減少了不安全智能設備的數(shù)量。但是,問題仍然存在,智能設備仍然可能對其使用者造成傷害,這表明網(wǎng)絡安全公司和聯(lián)網(wǎng)設備供應商還有更多的工作要做”。
卡巴斯基實驗室研究人員建議用戶采取以下措施來保護自己,避免購買到容易遭受攻擊的智能設備:
1、購買物聯(lián)網(wǎng)設備之前,通過互聯(lián)網(wǎng)搜索一下相關(guān)設備是否有包含漏洞的報告。當前,物聯(lián)網(wǎng)是一個非常熱門的話題,很多研究人員在發(fā)現(xiàn)這些產(chǎn)品的安全問題方面做了很多工作:從嬰兒監(jiān)視器到應用控制的步槍等。您要購買的設備很可能已經(jīng)被安全研究人員檢查過,你還可以查看這些設備中發(fā)現(xiàn)的安全問題是否已經(jīng)被修補。
2、購買市場上剛剛推出的最新產(chǎn)品并非都是好主意。新產(chǎn)品除了包含一些常見的bug外,很可能還包含安全研究人員尚未發(fā)現(xiàn)的安全問題。最好的選擇是購買已經(jīng)經(jīng)過多次軟件升級的產(chǎn)品。
3、在選擇使用智能設備讓自己的生活變得更智能時,請考慮其中的安全風險。如果你的家里存放著很多有價值的東西,那么安裝專業(yè)的報警系統(tǒng)可能是一個好主意,利用專業(yè)設備取代或補充現(xiàn)有的應用控制的家庭警報系統(tǒng),或者設置現(xiàn)有的系統(tǒng),使任何潛在的漏洞都不會影響其運行。
為了應對這些威脅,卡巴斯基實驗室發(fā)布了針對“智慧”家庭和物聯(lián)網(wǎng)的解決方案的beta版——卡巴斯基物聯(lián)網(wǎng)掃描器。這款針對安卓平臺的免費應用可以掃描家庭的Wi-Fi網(wǎng)絡,告知用戶連接到網(wǎng)絡的設備以及這些設備的安全級別。