国家 / 地区
docurl=/cn/Partner/Technology_Product/Industry_alliance/News/201610/1036081_30007_0.htm

智慧互联创新方案——智能物联设备花样翻新、层出不穷,但都安全吗?

【发布时间:2016-10-18】

一、智能家居中存在的安全问题

目前包括无人机、智能电源、智能洗衣机、智能微波炉、智能摄像头等智能硬件产品,只要保持电源连接、网络连接状态就有可能被黑客通过电脑进行远程控制,存在较大的安全隐患。这些问题的曝光不仅给智能家居企业敲响了一个警钟,也让正在享受智能家居的消费者热情冷却下来。该如何解决这一安全漏洞,成了大家一致关心的问题。

智能家居中存在的安全问题

1.物联网的安全问题

根据Gartner报告预测,2020年全球物联网设备数量将高达260亿。目前物联网安全标准滞后、智能设备制造商缺乏安全意识,上述因素都为物联网安全埋下极大隐患。物联网当前阶段主要存在以下安全问题:

个人信息泄露

未被妥善处理的大量数据会对用户的个人隐私造成极大的侵害。因为我们每个人都是数据,实际上只要用网络服务商提供的网络服务,我们的数据都会被传送到云端,信息被存储起来。人们面临的威胁不仅限于个人隐私泄漏,还有网络服务商基于大数据对人们状态和行为的预测。

传统的防护边界削弱,物联网易被攻击

当所有设备都变的更具智能化,并且将他们接入到互联网后,网络边界的概念会被削弱。接入点越来越多,整个系统也越大,被攻破的可能性也会越大。例如,现在很多设备都会通过蓝牙、WiFi模块接入互联网。这样的连接方式会存在很多被黑客利用的点,而且攻击形式多变,使得安全防守端的挑战越来越大。

物联网时代还存在着传统的网络攻击。如阻塞攻击、碰撞攻击、洪泛攻击与信息篡改等威胁。

2.智能设备自身的问题

物联网时代的智能设备也存在着诸多问题,在不经意间很可能就会泄露自己的隐私信息。为了直观的揭露设备中存在问题,H3C攻防团队曾对某款产品的智能摄像头做过一次详细测评,我们发现了设备中隐藏的安全问题:

传输过程未加密

在H3C攻防团队测试过程中,发现该款智能家庭摄像头在传输过程中使用了一定的加密方式,采用了HTTPS协议对请求控制的内容进行传输加密。但是由于厂商对API接口的配置不当,造成了用户可以通过80端口与设备建立起连接,并对通信的数据包进行截获,修改请求的端口号就可以获得明文的数据。

用户隐私泄露

在今年的RSA2016大会上隐私顾问Rebecca Herold表示,大量物联网设备发布,没有任何安全和隐私控制。设备泄露的隐私里面会包含用户的生活数据包括家里的温度、位置、光照等信息。最主要的还包括家庭内部的视频信息,通过对大量的智能家庭摄像头的使用和测试发现,大部分的智能家庭摄像头都存在绕过身份验证控制设备的问题。不仅如此,还有一部分的智能家庭摄像头在用户获得token之后,通过分析可以查看到用户和设备的对应关系,修改设备标识,就可以横向越权控制其它用户的摄像头,看到摄像头中的内容。这样的操作是在远程并且没有任何感知的情况下就能完成了。这对于用户隐私的危害是非常大的。

未存在人机识别机制

H3C攻防团队通过测试发现,智能摄像头由于未采用人机识别机制,在注册流程、找回密码流程等过程中,导致可以强制修改用户密码,从而获取摄像机的控制权限。整个过程中用户都毫无感知,因此对用户的隐私造成了巨大影响。

未对客户端进行安全加固

H3C攻防团队在测试中还发现,该智能摄像头的手机APP端代码没有进行混淆,可以被轻易的逆向分析出源代码,对APP接口代码实现流程进行逆向分析,可以得到控制流程,登录流程方面的逻辑。这就造成可以通过APP而不需要设备就可以直接控制智能摄像头的目的。

智能家居设备存在着硬件调试接口

目前智能设备安全措施包括身份认证、数据加密、反硬件调试等。攻击者接触智能设备后,可以通过物理调试接口对设备进行修改,进而达到攻击的目的;同时攻击者可以通过远程连接智能设备,通过暴力破解的方法攻破口令,进而控制智能家居设备。

未存在远程更新机制

H3C攻防团队发现该款智能摄像头未存在远程固件更新机制,无法随时随地的给设备打补丁。因此摄像头即使出现了严重漏洞,也无法及时的修补该漏洞。从而设备产生的风险就需要由所有的用户来承担。

二、物联网相关安全建议

随着安全威胁的不断发展,以及我们对安全理解的不断加深,开始对安全的本质进行思考,正因为如此出现了基于木桶原理的安全防护体系。木桶原理简单的说就是整个系统的安全系数取决于最弱一环,即短板理论,因此整个安全体系的建设就是寻找整个网络的所有安全边界,然后对这些安全边界进行防护,避免安全短板的出现。

我们呼吁相关厂商在推出智能设备的同时,也应当将物联网设备的安全性放在更加重要的位置上。同时建立相关的防护体系,如:加强对身份的认证识别,增强数据传输过程中的加密体系,及时发现相关的漏洞,定时更新漏洞补丁;甚至可以提供相关云安全的解决方案,毕竟基于云+端+边界的安全模型可以很好的解决这一安全问题。例如新华三的大安全的解决方案就能很好的做到这一方面的安全防护,有针对云端的天机系列产品,针对端的IPS系列,针对边界的防火墙系列。这些产品能够很好的保障区域的信息安全。

另外,智能家居的使用者也需要对设备带来的风险有一定的认知,更加注重个人隐私安全。如何能够保障自己的智能家居设备的隐私不会泄露,这里给大家一些建议。

首先消费者在购买时候要对所选智能家居的品牌进行一些调查,看看在互联网上能不能搜索到相关设备的一些漏洞。

在使用智能家居的时候,要注意设置一定强度的密码,并且及时关注智能家居设备软件的提醒。若发现软件频繁的提示收到短信验证码的信息,使用者就要及时修改相关密码。

使用者要不定期登录智能家居的控制界面。若发现软件中设定的参数经常变动的情况,就需要提高自己的警惕,保障智能家居的控制权在自己的手中。

提高使用者自身的安全意识,注意网络安全咨询,关注智能家居方面的安全资讯。

结束语:随着物联网技术的飞速发展,物联网的应用领域必将会越来越大,这种趋势给人们的生产和生活带来极大便利的同时,也将面临着各类安全威胁。只有认清楚当前的安全威胁,才能从安全技术防范和法律两个方面着手,有效防止物联网中的信息在传输过程中出现安全问题,从而促进物联网健康快速发展,为人类社会做出突出的贡献。