惠普:最热门10款智能家居设备有250个漏洞
不过,惠普并没有具体指出涉及哪些产品,只是泛泛地说:它们来自“电视、网络摄像头、家用恒温器、远程电源插座、洒水车控制器、多设备控制中枢器、门锁、家庭警报器、磅秤和车库开门器的制造商”。
这些设备通常都是运行Linux操作系统的精简版本,所以它们会有很多常见于运行Linux的服务器或者计算机的基本安全漏洞。问题在于,设备制造商并没有像对待传统计算机那样花功夫去加强安全保护。
惠普副总裁兼Fortify部门总经理迈克·阿米斯特德(Mike Armistead)指出,该行业的现状是,制造商们普遍匆忙将它们的产品推出市场,而没有很努力地去给设备提供防范基本攻击的能力。
该问题的危害性可能会大大放大,因为一旦一款设备遭攻击,设备间重合的漏洞会致使攻击向其它设备蔓延。这并非危言耸听,历史上发生过那样的黑客攻击,其中破坏性最大的事件之一是超过7000万人信息失窃的Target事件。在该事件中,黑客是通过攻击用于控制和维护公司门店采暖通风系统的系统来盗取数据。
惠普的智能家居设备研究报告指出:
• 有8款设备对设备本身或者相应网站要求的密码强度低于“1234”。
• 有7款设备在与互联网或者本地网络进行通讯的时候没有进行加密,这意味着任何数据的传送都“不设防,畅行无阻”,不管那些数据敏感机密与否。
• 有6款设备界面存在安全漏洞,容易受到持续的跨站点脚本攻击,默认登陆认证信息脆弱,或者“畅行无阻地”传输像密码这样的登陆认证信息。
• 有6款设备在软件升级下载期间没有加密。这尤其令人担忧,因为不法分子可以借此伪造软件更新,对设备重新编程,从而为所欲为地控制设备。想想如果联网的网络摄像头或者车库开门器出现这种问题,会是怎样的后果吧。
• 10款设备中有9款至少收集过某种个人信息:邮箱地址、家庭住址、姓名和出生日期。
惠普Fortify研究人员以往常的方式来进行此次研究:他们让那些智能家居设备接受Fortify on Demand服务的检测,该服务会对软件的已知和潜在安全问题进行测试。
那物联网市场会有多大呢?市场研究公司Gartner估计,到2020年,个人智能家居设备总装机量将上涨至260亿。
正如阿米斯特德所指出的,“对于黑客来说,那是巨大的新攻击目标。”