智能設(shè)備正在成為新的安全威脅，一份研究報(bào)告指出，如果不采取有效措施，智能設(shè)備的安全漏洞將會(huì)以每年超過(guò)20%的速度增長(zhǎng)。

11月27日，360安全大腦發(fā)布了國(guó)內(nèi)首個(gè)智能設(shè)備安全報(bào)告，這份名為《典型IoT設(shè)備網(wǎng)絡(luò)安全分析報(bào)告》從智能攝像機(jī)、電視盒子、智能打印機(jī)等家庭及辦公場(chǎng)景下最常見(jiàn)的IoT設(shè)備入手，進(jìn)行了50余個(gè)品牌近200種不同機(jī)型產(chǎn)品的抽樣檢測(cè)與分析，并圍繞廠商安全服務(wù)水平、用戶安全意識(shí)、IoT安全趨勢(shì)等維度，系統(tǒng)分析了典型IoT設(shè)備的安全問(wèn)題。

報(bào)告顯示了嚴(yán)峻的IoT安全現(xiàn)狀，指出一些常見(jiàn)漏洞可輕易導(dǎo)致IoT設(shè)備喪失控制權(quán)，任人擺布。這些與用戶“朝夕相處”的IoT設(shè)備將帶來(lái)更嚴(yán)重的安全威脅，而智能攝像頭首當(dāng)其沖，成為“最不安全”的智能設(shè)備。

此外。報(bào)告還預(yù)計(jì)，如果不采取有效措施提高IoT設(shè)備安全性，2019年，與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長(zhǎng)，安全形勢(shì)不容樂(lè)觀。

智能攝像頭最危險(xiǎn)：近五分之一存在漏洞

該報(bào)告研究對(duì)象為IoT設(shè)備危害最大，也最為普遍的三大類安全漏洞：遠(yuǎn)程弱口令漏洞、預(yù)置后門(mén)漏洞和敏感信息泄露漏洞在不同智能設(shè)備上的分布情況。

檢測(cè)顯示，8.4%的受檢設(shè)備存在遠(yuǎn)程弱口令漏洞，是影響最廣泛的漏洞，弱口令極易被破解，繼而導(dǎo)致設(shè)備喪失控制權(quán)，危害后果嚴(yán)重。

目前的智能設(shè)備遠(yuǎn)程操作已經(jīng)是“標(biāo)配”，比如利用手機(jī)查看家中智能攝像機(jī)的畫(huà)面、網(wǎng)頁(yè)管理打印機(jī)等設(shè)備、上傳下載文件等。

所謂遠(yuǎn)程弱口令，即使用的遠(yuǎn)程服務(wù)只設(shè)置了簡(jiǎn)單密碼，比如admin、password、12345678等常見(jiàn)字母、數(shù)字組合，以及個(gè)人姓名、生日、電話號(hào)碼、身份證號(hào)等。

報(bào)告顯示，19.5%的智能攝像機(jī)存在上述常見(jiàn)安全漏洞，是三類設(shè)備中最“危險(xiǎn)”的IoT設(shè)備。而在智能攝像機(jī)存在的漏洞中，遠(yuǎn)程弱口令漏洞占比最高，為91.7%。這一漏洞發(fā)生在智能攝像頭上，可能導(dǎo)致攝像頭變“偷窺狂”，泄露用戶隱私。

此外，智能打印機(jī)存在的漏洞中，遠(yuǎn)程弱口令漏洞占比最大，為95.8%。在企業(yè)的日常工作場(chǎng)景中，遠(yuǎn)程傳輸文件進(jìn)行打印是再熟悉不過(guò)的行為。如果打印機(jī)管理員疏于修改打印機(jī)出廠設(shè)置的遠(yuǎn)程服務(wù)弱口令，可能引發(fā)商業(yè)機(jī)密的泄露，帶來(lái)不可估量的損失。

在電視盒子暴露的漏洞中，敏感信息泄露漏洞占比高達(dá)92.7%，遠(yuǎn)超其他類型漏洞。該漏洞主要由敏感數(shù)據(jù)存儲(chǔ)未加密、采用明文傳輸?shù)仍驅(qū)е?。利用這些漏洞，攻擊者能遠(yuǎn)程查看用戶電視設(shè)備播放的節(jié)目列表、歷史記錄，甚至造成用戶的視頻網(wǎng)站賬號(hào)密碼泄露。

報(bào)告強(qiáng)調(diào)，除這三大類漏洞外，不同的IoT設(shè)備中還存在更大比例的其他類漏洞，整體安全情況不容小覷。

用戶最擔(dān)憂隱私泄露、人身財(cái)產(chǎn)安全

360安全大腦對(duì)IoT設(shè)備用戶的調(diào)研顯示，提升生活便捷程度、享受科技體驗(yàn)、守護(hù)家庭安全為用戶購(gòu)買IoT設(shè)備的三大原因。但是，用戶對(duì)IoT設(shè)備的擔(dān)憂，也同樣來(lái)源于安全方面。

調(diào)研數(shù)據(jù)顯示，用戶對(duì)IoT設(shè)備最擔(dān)憂的安全問(wèn)題是隱私泄露及盜竊，其次是人身安全、支付安全、病毒攻擊和WIFI風(fēng)險(xiǎn)。用戶所擔(dān)心的這些方面，也是IoT設(shè)備目前被詬病最多的威脅。

根據(jù)調(diào)研，只有36.0%的網(wǎng)友表示，從未遭遇過(guò)IoT設(shè)備安全問(wèn)題。4.5%的用戶表示經(jīng)常被各種安全問(wèn)題轟炸，飽受叨擾;18.1%的用戶表示曾遭遇過(guò)安全問(wèn)題，雖然加強(qiáng)了防護(hù)，但仍然防不勝防;另外高達(dá)40.1%的用戶表示，不知道是否曾遭遇過(guò)智能硬件安全問(wèn)題，但個(gè)人信息可能已經(jīng)被泄露了。

除了IoT設(shè)備本身的漏洞，用戶的忽視以及不安全使用，也是造成IoT設(shè)備安全問(wèn)題的重要因素。用戶的不安全使用行為包含不修改默認(rèn)密碼、設(shè)置弱密碼、不升級(jí)打補(bǔ)丁、安裝過(guò)多插件等。

密碼方面，用戶使用弱密碼或使用默認(rèn)密碼，是重要的安全隱患之一。360安全大腦通過(guò)對(duì)用戶的調(diào)研顯示，61.7%的用戶會(huì)修改密碼并設(shè)置高防護(hù)密碼，而30.5%的用戶會(huì)使用弱密碼，還有6.8%的用戶根本不去修改密碼。

定期升級(jí)系統(tǒng)或給漏洞打補(bǔ)丁，是確保IoT設(shè)備安全性的重要舉措。360安全大腦對(duì)用戶的調(diào)研顯示，大部分用戶會(huì)及時(shí)升級(jí)、打補(bǔ)丁，分別占比49.3%和63.0%;0.9%的用戶不去修補(bǔ)漏洞，7.5%的用戶不去升級(jí)網(wǎng)絡(luò)端口;其余則是大部分會(huì)、偶爾會(huì)。也就是說(shuō)，用戶的安全意識(shí)仍然不夠高。

廠商是第一責(zé)任人，三成廠商不考慮安全問(wèn)題

廠商是守衛(wèi)IoT安全的第一道關(guān)口，其能否為IoT設(shè)備設(shè)置安全模塊、高強(qiáng)度的出廠密碼，及時(shí)修復(fù)漏洞，都關(guān)系著IoT設(shè)備的安全。

然而，報(bào)告通過(guò)對(duì)流行IoT設(shè)備制造商的抽樣調(diào)查發(fā)現(xiàn)，有66.7%的廠商會(huì)為部分IoT產(chǎn)品設(shè)置安全模塊，另有33.3%的廠商則在設(shè)計(jì)IoT產(chǎn)品時(shí)完全不考慮安全問(wèn)題，不設(shè)置安全模塊。這種情況在中小廠商和初創(chuàng)廠商中更為普遍。

此外，廠商能否為IoT設(shè)備設(shè)置高強(qiáng)度的出廠密碼，關(guān)乎IoT設(shè)備安全。360安全大腦監(jiān)測(cè)數(shù)據(jù)顯示，在進(jìn)行抽樣調(diào)查的IoT設(shè)備中，出廠設(shè)置弱密碼的設(shè)備數(shù)量占比高達(dá)64.4%，存在較高的被暴力破解風(fēng)險(xiǎn)，危及用戶隱私。

約三分之二的廠商，未能在接到第三方報(bào)告后，三個(gè)月內(nèi)修復(fù)系統(tǒng)漏洞。除安全意識(shí)不足的因素外，在IoT行業(yè)，很多廠商由硬件廠商轉(zhuǎn)型而來(lái)，其軟件和安全技術(shù)相對(duì)欠成熟，這也可能帶來(lái)“不修復(fù)或延遲修復(fù)”情況。

對(duì)此，360安全大腦給出6項(xiàng)安全建議：產(chǎn)品上市前應(yīng)與專業(yè)安全產(chǎn)商、安全機(jī)構(gòu)合作，進(jìn)行充分的安全檢測(cè);建立和健全產(chǎn)品更新機(jī)制，產(chǎn)品投入市場(chǎng)后定期更新維護(hù)產(chǎn)品，提供完備的用戶服務(wù);產(chǎn)品在設(shè)計(jì)時(shí)，就應(yīng)置入安全模塊，在整體產(chǎn)品設(shè)計(jì)架構(gòu)中充分考慮安全性;使用開(kāi)源軟件開(kāi)發(fā)的系統(tǒng)，應(yīng)該在使用之前進(jìn)行源代碼安全檢測(cè);密切關(guān)注CNVD、補(bǔ)天等第三方漏洞平臺(tái)的安全通報(bào)，第一時(shí)間發(fā)現(xiàn)相關(guān)安全漏洞并修復(fù);產(chǎn)品設(shè)計(jì)弱口令修改提醒功能，向用戶警示安全風(fēng)險(xiǎn)，督促用戶盡快修改初始密碼。

2019年IoT設(shè)備相關(guān)漏洞增長(zhǎng)率逾28% ，遠(yuǎn)超整體漏洞增長(zhǎng)率

美國(guó)國(guó)家信息安全漏洞庫(kù)披露的近5年的漏洞數(shù)據(jù)顯示，與IoT設(shè)備相關(guān)的漏洞增長(zhǎng)率遠(yuǎn)高于漏洞整體增長(zhǎng)率。

以2017年為例，全網(wǎng)安全漏洞增長(zhǎng)率為18.3%，但I(xiàn)oT設(shè)備的漏洞增長(zhǎng)率高達(dá)33%，高于全網(wǎng)漏洞增長(zhǎng)率14.7%。

360安全大腦根據(jù)2017年與2018年的數(shù)據(jù)保守預(yù)測(cè)，如果不采取有效措施提高IoT設(shè)備安全性，2019年，與IoT設(shè)備相關(guān)的漏洞將以28.6%的速度增長(zhǎng)，安全形勢(shì)不容樂(lè)觀。

近些年，IoT安全事件頻發(fā)。

2016年10月發(fā)生的美國(guó)斷網(wǎng)事件，實(shí)際上就是由一個(gè)名為Mirai的僵尸網(wǎng)絡(luò)控制全球89萬(wàn)個(gè)IoT設(shè)備(主要是智能攝像機(jī))，對(duì)美國(guó)DNS解析服務(wù)商Dyn發(fā)動(dòng)DDoS攻擊所引起的。這一事件大大改變了人們對(duì)IoT安全的認(rèn)知：物聯(lián)網(wǎng)設(shè)備、智能家居的安全漏洞原來(lái)不僅僅是會(huì)威脅個(gè)人隱私，只要數(shù)量足夠多，也會(huì)威脅國(guó)家安全。

2017年3月，Spiral Toys旗下的CloudPets系列動(dòng)物填充玩具遭遇數(shù)據(jù)泄露，涉及玩具錄音、MongoDB泄露的數(shù)據(jù)、220萬(wàn)賬戶語(yǔ)音信息等;今年8月，美敦力公司(Medtronic)心臟起搏器被曝出安全漏洞，攻擊者可以遠(yuǎn)程操控心臟起搏器，直接危及使用者生命安全。

不僅如此，自2017年下半年以來(lái)，挖礦木馬的流行也擴(kuò)散到了IoT領(lǐng)域，大量的IoT設(shè)備被黑客批量掃描控制，進(jìn)行挖礦活動(dòng)。只要聯(lián)網(wǎng)的IoT設(shè)備存在遠(yuǎn)程漏洞，都有可能被攻擊者所控制。而如智能電視、電視盒子等網(wǎng)絡(luò)設(shè)備的安全漏洞，也使攻擊者有可能通過(guò)遠(yuǎn)程攻擊竊取和監(jiān)控用戶上網(wǎng)信息，甚至盜取用戶上網(wǎng)帳號(hào)。

在此次報(bào)告發(fā)布的同時(shí)，360也發(fā)布了 IoT安全生態(tài)守護(hù)計(jì)劃。據(jù)悉，360在IoT安全方面已有多年積累，具備IoT安全感知能力，能做到對(duì)漏洞監(jiān)測(cè)和預(yù)警。360愿意將IoT安全防御方面的經(jīng)驗(yàn)、數(shù)據(jù)、技術(shù)、能力開(kāi)放出來(lái)，與大家進(jìn)行合作，向生態(tài)廠商開(kāi)放，攜手多方共同打造IoT安全生態(tài)。

關(guān)鍵詞：