物联网安全之殇:设备制造商安全意识极度匮乏

近日,安全公司Rapid7在对9个婴儿监视器进行测试之后,发现其中8个在测试中存在初级的安全问题。这充分表明了当前的物联网设备制造商在安全方面仍有很大的成长空间,也就是说,在安全方面他们还需要很长的时间去探索。

随着当前越来越多的消费设备接入到互联网中,越来越多的由于设计缺陷而导致的安全漏洞也不断浮出,这不但使得这些设备极易受到攻击,并且,实际情况表明针对此类设备的攻击已经越来越多。

例如,在上文所提到的Rapid7对9个婴儿监视器的测试中,Rapid7便发现了10个严重的漏洞,其中有5个是供应商所留下的后门。具体来说,设备制造公司在设备中创建了一个计分卡的安全设计,但只需要键入一个“d”便可使任意人进入该设备。

而在Rapid7全球服务的高级安全顾问Mark Stanislav看来,没有一个供应商会在其产品所采取的安全措施方面做宣传,或者说这样的情况是极为少见的。而作为一个约从50美元到250美元价格不等的设备而言,这样的标价几乎与安全性没有任何的联系。 “作为一个消费者,要想知道你所购买的商品是不是安全的,这是非常困难的。” Mark Stanislav说道:“不幸的是,从物联网的安全现状来看,目前的情况并不值得我们乐观”。

连接设备,也被称为物联网,正越来越受到安全研究人员的关注。而通常情况下,安全研究人员都会从其中发现重大安全漏洞。今年2月,惠普公司的安全部门便发现,物联网安全系统存在明显的漏洞,当用户未使用设备时同样会面临被攻击的风险。而在去年,赛门铁克和Rapid7也发布了类似的研究,发现在众多的物联网设备中都存在安全漏洞。

在最新的研究中,Rapid7分析了来自8个不同供应商的9个不同的运作模式的婴儿监视器,并发现其中存在的重大漏洞可能允许攻击者访问监视器或通过代码操作让设备实际运行。在这些设备中,服务器支持了一个在设备使用中可预见的url,攻击者可以很容易地进入并修改其他账户持有人的信息。这一设计方式在实时访问视频时也同样会导致第二个可被攻击之处,因为供应商是将实时视频服务托管在公共网络上的。第三个漏洞发生在服务支持相对较差的情况下,当用户在与亲朋好友分享视频时,可导致视频流被攻击者任意访问。

Rapid7为所测试的设备是否具有安全特性进行了评比打分,这些安全特性包括:设备的本地和网络通信是否使用了SSL加密、设备是否存在任何潜在的后门、是否隐藏账户或已知的漏洞等等。在满分为100分的情况下,测试结果表明有8个设备分数在0到50之间,未通过安全测试。而唯一勉强算是通过测试的设备也只有64分。

“比分的结果比更多的工程实践更加能够表明,物联网安全的决定性的因素还是在于产品的设计阶段和实现阶段。” Mark Stanislav说道。

作者:蓝雨泪

来源:51CTO

时间: 2024-10-02 14:45:03

物联网安全之殇:设备制造商安全意识极度匮乏的相关文章

思博伦为运营商和设备制造商提供验证全球规模下移动服务的能力

领先的移动网络和服务测试解决方案供应商思博伦通信今天发布了全新的思博伦Landslide C100-M2测试平台, 面向移动核心网络.Wi-Fi.IMS和Diameter网络.该系统专为网络设备制造商(NEM)和正在构建移动宽带应用支持网络的运营商而设计,所涉及的应用包括:语音.企业.安全.物联网和M2M,以及其它拥有全球规模的服务.这些服务需要网络的数据层面,以及移动性.策略.验证和计费等控制特性这两方面的扩展性.与此前的平台相比,C100-M2测试平台可以实现3倍的仿真规模和2倍的连接速率.

诺基亚依旧世界第三大移动设备制造商,财务预期不改变

3月2日消息,据国外媒体报道, 诺基亚目前是世界第三大移动设备制造商,其首席执行官周日在巴塞罗那的新闻发布会上表示不会改变其财务预期. 诺基亚CEO拉杰夫·苏里表示,"过去的几个星期没有什么大事发生,一切照旧." 苏里重申,芬兰公司在2015年欧元兑美元大幅贬值的情况下,业务预期良好.   2015年一月下旬,该公司曾表示,预计诺基亚网络公司第一季度净销售额和经营利润同比下降相比.对于整个2015年,诺基亚曾表示,预计网络部门运营利润率回落到其长期目标的8%至11%,原来预期值为12.

全球已有111家设备制造商发布1064款LTE用户设备

新浪科技讯 10月7日早间消息,美国芯片企业高通公司昨天表示,根据全球移动设备供应商协会GSA数据,截止今年8月25日,全球已有111家设备制造商发布1064款LTE用户设备,其中超过50款LTE设备采用高通芯片,涉及厂商包括三星.LG.索尼.宏碁与华硕等高通公司指出,支持多频多模LTE芯片将是全球LTE发展重要关键,高通推出第三代Gobi 4G LTE调制解调器.可支持包括4G LTE-Advanced载波聚合在内的Snapdragon处理器及可支持全球40多个4G LTE.3G.2G射频频段

智能安防新时代:用户、SI、设备制造商要做什么?

随着网络边界模糊化,网络安全不再局限于PC端,移动端.服务器端.云端等安全终端日益成为个人.组织.企业关注的方面,使用优质的安全产品做好防护才能使我们处于一个相对安全的网络环境中.软件工程师正努力完成主要的代码块,但他的老板却要砍掉相当一大部分内容,其中包括一些从网络上下载的开源程序.替换这些程序将增加项目开发时间.他跑到老板办公室恳求:"我需要在系统中使用这些软件!" "你不能使用它.它是开源的,不可靠."老板说道. 工程师点点头,对老板的回答早有所料."

FDA发布联网医疗设备制造商安全指南草案

据外媒报道,日前,美国食品与药物管理局(FDA)针对联网医疗设备制造商公布了一份指南草案.在这份草案中,FDA提供了一系列关于如何加大联网医疗设备安全性能的指导,比如如何监控与辨别网络安全威胁.如何解决安全漏洞.据悉,现在越来越多具备联网功能的医疗设备遭到了大规模数据泄露. FDA还指出,光生产出安全的医疗设备还不够,因为在对待网络安全这一问题时,厂家必须也要与时俱进.不但更新. 在大多数情况下,这种风险管理包含了例行的打补丁.系统更新,而这些工作商家可以不必经过FDA就可以向客户推送. FDA

微软再获两家安卓设备制造商专利使用费

新浪科技讯 北京时间6月30日凌晨消息,美国两家安卓设备制造商Velocity Micro和General Dynamics近日分别与微软签署专利使用协议,为己方制造的安卓设备向微软支付专利使用费用,具体金额未透露. 此前一份报告称,微软从安卓设备上赚的钱是从Windows Phone 7手机上赚的钱的5倍.HTC在2010年和微软签署了专利使用协议,每台安卓手持设备向微软支付5美元.不过摩托罗拉和Barnes & Noble并未同微软签署此类协议, 它们分别就微软指控Droid X.Droid

FDA网络安全指南将帮助医疗设备制造商应对不断变化的网络威胁

据外媒报道, 美国食品和药物管理局(FDA)在当地时间周二发布了一项针对医疗设备制造商的网络安全指南,建议他们如何维护联网医疗设备的安全,即使这些设备已经在医院.患者家中或者患者体内投入使用.FDA认为这些医疗设备遭遇黑客入侵后将对病人造成伤害,甚至会威胁到患者生命. FDA在去年1月就发布了<售后医疗设备网络安全管理>草案,这份30页的文件鼓励制造商监控他们的医疗设备.并实时修复修复设备漏洞. 目前这份指南还不具备法律效力. 几年前FDA就已开始警告医疗保健行业,医疗设备极易遭到网络攻击.这

巨头卡位物联网 纷纷瞄准家庭网关设备

根据此前市场调研公司ABI Research预计,在2020年通过物联网(IoT)进行无线连网的设备总数将达到300亿台,而且大部分增长将来自于智能移动设备.当家中各种各样连网设备日益增多,对于网络的需求也越来越大.对此,巨头们也发现其潜在的巨大商机,纷纷展开布局.   巨头们组团结盟或收购 近两年由巨头们所主导的物联网联盟纷纷成立,并以开放通讯平台为诱点,希望吸引更多支持者加入来巩固市场影响力.其中,由于成立时间最早,以高通(Qualcomm)主导成立的AllSeen联盟目前会员最为广泛. 像

3G牌照提前发放 设备制造商成大赢家

一句话推起了一个板块.11月18日,中国联通(600050.SH)董事长常小兵在澳门演讲时表示,相信政府会加快3G牌照发放,并希望于年底可成为现实.受此刺激,11月19日和20日,通信板块连续 两天上涨.电信运营商.设备制造商.手机厂家乃至股市的投资者皆摩拳擦掌,以分食3G蛋糕.然而,到底哪些上市公司获益最大?中国联通(600050.SH).中兴通讯(000063.SZ)还是ST大唐(600198.SH)?提前发放3G牌照刺激内需与常小兵发言一起流传的,还有工业和信息化部(以下简称工信部)的举动