惠普公司的应用程序安全防御部门对市场上十个最受欢迎的消费物联网产品进行了分析,发现了250个安全漏洞,平均每个产品25个。不幸的是,惠普还没有办法识别出每个产品的具体漏洞,他们只是笼统地描述:这些漏洞涉及各种设备厂商,包括电视,网络摄像头,家庭恒温器,电源插座,中控设备,门锁,家庭报警器,电子称,以及车库门开关。
就像有“潜规则”一样,物联网设备往往运行Linux操作系统的简易版本。换句话说,不管你是在一台服务器上运行,还是在其他计算机上运行,物联网设备都会存在许多相同的安全问题。此外,人们在构建物联网时,也没有像传统电脑那样考虑太多安全因素。
惠普安全防御部门副总裁兼总经理Mike Armistead表示,之所以出现这种情况,是因为制造商们太着急了,他们急着想把自己的产品迅速推向市场,没有考虑太多安全问题,有些产品甚至无法抵御最基本的黑客攻击。
更严重的是,某个产品受到了攻击后,重叠的安全漏洞可能导致其他设备被攻击。这不是在危言耸听,最近Target公司被黑客攻击,超过7000万人的资料被窃取。而黑客的攻击手段或许你都想象不到,Target有一套专门管理和维护店内通风设备的系统,而黑客就是利用这个系统进入到后台,我们不妨先来看看Target这个反面教材吧。
八台设备的密码都是“1234”,每台设备、甚至对应的网站都是弱密码。经测试,在连接到互联网或本地网络时,八台设备中有七台没有加密,也就是说,无论他们发送任何数据,所有信息都是“透明的”。六台设备接口安全性极差,无法抵御黑客跨站脚本攻击,默认签名证书极弱,发送含密码的签名证书几乎也是“透明的”。
六台设备的加密软件没有下载更新,这点极其危险,因为黑客会开发出一个看似“合法的”软件更新,一旦用户上当下载安装后,软件改变设备程序,为所欲为。同样,用户家里的网络摄像头和车库开门设备通常都是连接到互联网上的,遭到类似攻击的后果是不是会很危险?
此外还有一个问题,公司内部的十台电脑中,有九台或多或少存储了一些用户信息,包括电子邮件,家庭地址,姓名,出生日期等。为了完成本次安全威胁调研,惠普公司安全防御部门的研究人员下了很大工夫,他们用惠普的“Fortify on Demand”服务对各种物联网设备进行测试,以了解安全问题。
那么,未来物联网的规模会有多大呢?根据研究公司Gartner的推测,到2020年全球物联网设备将会暴增至260亿台。对黑客们来说,物联网将会是一个巨大的攻击目标。