外媒:那些最易受到攻擊的常見設備
根據Gartner公司的調查結果,目前全球消費級聯網設備總量已經超過30億臺,而這一數字將在未來一年中增長到40億臺。
而這部分增量當中有相當一部分是受到了假日購物活動的帶動,根據消費電子協會于今年10月發布的報告指出,調查顯示約有65%的美國人表示在此期間有意購買消費級電子禮品。用于購買這些技術產品的整體支出將高達342億美元,CEA首席經常學家兼高級研究員Shawn DuBravac稱這將是有史以來規模最大的技術產品采購季。
其中大部分禮品可能都屬于聯網設備,具體包括智能電視、平板設備、智能手機、上網本與筆記本產品乃至游戲主機等等。除此之外,還有約三分之一消費者計劃購買今年剛剛出現的新興技術產品,例如智能家居設備、可穿戴式設備、智能手表以及無人機等。
遺憾的是,大部分此類設備都會讓用戶的個人環境面臨更為嚴峻的安全威脅。
▲平板設備
與智能手機一樣,平板設備的安全性水平也主要取決于其操作系統類型。
盡管iOS設備也曾經偶爾遭到入侵,不過根據一份由Pulse Secure公司發布的移動威脅安全報告指出,目前97%的惡意軟件都將目標設定為Android平臺。
iOS生態系統提供一系列超越Android陣營的重要安全優勢,其中包括對App Store內上架應用的嚴格控制,同時蘋果公司也有能力快速向全部用戶推送安全相關升級。相比之下,Android安全更新往往需要由各設備制造商自行提供,這就導致其更新節奏明顯更慢。
不過平板設備還面臨著一些額外的安全風險。
“平板設備通常會被以等同于筆記本的方式加以使用,且通常包含大量與工作相關的敏感信息,”英特爾Security安全與隱私主管Bruce Snell指出。“不過與筆記本電腦不同,平板設備的安全保障工作往往不受關注,特別是在BYOD環境當中。”
▲智能手機
根據Pew研究中心的調查,約有68%的美國成年公民擁有智能手機。而根據Internet Retailer的統計,今年年內移動購物活動總額已經占全部在線消費額度的30%。
超過一半的智能手機用戶使用網上銀行服務,而目前每月有超過14億用戶通過自己的移動設備登錄Facebook。
“新型智能手機與平板設備每年都會進行數輪更新,而這些設備也成為饋贈親朋好友的絕佳禮品——最新型號的手機總能讓接受一方心花怒放,”Snell指出。
不過還有很多用戶尚未意識到,這些設備很可能成為潛在罪犯的入侵通道。
在順利竊取或者以遠程方式侵入一臺智能手機之后,惡意人士能夠獲得的絕不僅僅是社交媒體賬戶、電子商務以及網上銀行登錄憑證,他們同時也能夠窺探到受害者的電子郵件、個人照片與視頻、工作與個人聯系人、家庭及辦公環境登錄憑證以及保存在設備中的位置數據。
另外,攻擊者可能還會以遠程方式激活智能手機的麥克風,從而竊聽企業會議或者追蹤設備持有者的當前位置。
根據Snell的說法,當前對智能手機安全性影響最大的因素之一正是操作系統——平板設備也是如此。
“這也正是iOS與Android之間最大的差異所在,”他表示。
用戶行為同樣是一大需要關注的重要因素,調查結果顯示。
根據卡巴斯基實驗室與B2b國際今年發布的一份研究結果,目前有30%的Android手機持有者并沒有利用密碼對自身設備加以保護,而44%的Android手機持有者并沒有安裝過任何反惡意軟件解決方案。
而最近逐漸增多的藍牙周邊設備則給智能手機帶來更多可資利用的安全漏洞,Snell解釋稱。
“一部分設備會使用默認密碼進行藍牙裝置驗證,例如0000或者1234,這就使得網絡犯罪分子能夠輕松與我們的設備進行匹配,”他表示。
而事情遠不止如此簡單,他進一步補充稱。
“藍牙連接機制的最大問題在于其只會進行一次驗證,”他指出。“在進行過一次匹配之后,對應的藍牙裝置就會處于受信狀態,這意味著惡意人士完全可以借此進行中間人或者身份偽造攻擊活動,從而對主體設備及其網絡連接加以滲透。”
▲無人機
目前無人機市場仍然處于起步階段,但隨著此類設備變得越來越受歡迎,它們也將更多地被黑客們作為攻擊目標,英特爾Security公司的Snell解釋稱。攻擊者能夠利用安全漏洞竊取無人機本身,或者利用其交付盜竊到的其它贓物。
“以遠程方式入侵無人機與Wi-Fi間連接的作法真實存在,”Snell表示。
舉例來說,在今年夏季召開的Def Con安全大會上,一位來自安全企業Planet Zuda公司的研究人員就演示了如何劫持Parrot無人機——一款高人氣無人機產品。
▲內置攝像頭的設備
今年已經出現了一系列針對嬰兒監控裝置、保育以及其它類似設備的黑客活動。如今任何一款內置攝像頭的聯網設備都存在潛在安全漏洞,英特爾Security公司的Snell指出。
“甚至有一些匿名網站開始利用未受保護的攝像頭播放隱私視頻,”他補充稱。
舉例來說,今年秋初安全企業Rapid7公司就對來自六家制造商的熱門嬰兒監控裝置進行了審查,并發現它們全部存在著嚴重的安全問題,具體包括未對通信或者存儲數據進行加密,而這些還僅僅是嚴峻形勢的冰山一角。
攻擊者可以利用這些設備獲取個人隱私、竊取錄制好的視頻、追蹤人們在家中的動向,或者利用該設備接入本地網絡。
“這是一種非常嚴重的安全壓力,如果被攻擊者有針對性地加以利用,本文中討論的其它大部分安全漏洞以及信息外泄途徑與之相比根本不算什么,”研究人員們在報告中指出。
這份報告已經得到了媒體的普遍關注,而且大部分相關設備廠商也參與到了問題的解決工作當中。
“這份報告當中提到的問題已經被嬰兒監控裝置廠商Summer Infant在48小時內解決,”Summer Infant公司的一位發言人表示。
TRENDnet則發現,攻擊者們并不只單純對攝像頭進行物理接入,因為利用此類漏洞要求其重寫其中的電路板;除此之外,他們還會向用戶購買產品時使用的郵箱發出漏洞修復補丁、固件升級以及其它消息,或者通過用戶登錄的網站查看其視頻內容。
飛利浦公司的In.Sight無線高清嬰兒監控產品也受到了影響,而且這款產品目前已經由Gibson Innovations公司接手并繼續以飛利浦品牌進行制造及銷售。這兩家公司曾于今年九月共同協作以修復Rapid7方面披露出的安全隱患。另外,兩家公司還對受影響的云服務以及固件進行了更新,并對Android與iOS兩套平臺上的對應應用做出了升級。
iBaby Labs副總裁Elnaz Sarraf指出,他所在的公司已經采取了一系列舉措來解決Rapid7方面曝出的安全問題,其中包括不同監控裝置之間的通信安全保護、相關應用程序以及云服務等等。
根據Gynoii公司的一位發言人所言,該公司已經對產品的固件進行了升級,而且現有客戶將能夠在未來一周內下載到新的固件版本。
而截至目前,Rapid7公司提到的Lens Laboratories還沒有對我們的請求做出任何回應。
▲兒童玩具
根據Snell的說法,各類能夠接入互聯網的兒童玩意也可能成為犯罪分子得以窺探兒童本身乃至其家庭的通道。舉例來說,很多孩子都會使用其父母的電子郵箱及設備訪問對應應用以控制其小玩具。
“如果孩子的移動應用受到感染,那么黑客就能夠直接訪問到其父母的數據,”Snell指出。“這有可能導致惡意軟件被安裝至父母的設備中并以此為基礎進行擴散。”
此類玩具之一正是由Sphero出品的星戰系列BB-8機器人,其能夠通過智能手機上的應用實現遠程控制。
“其中的薄弱環節并不僅僅在于手機與BB-8之間的通信協議,事實上該玩具的固件也存在著被修改的風險,”物聯網安全企業Bastille Networks公司創始人兼CTO Chris Rouland指出。
目前正當紅的另一款此類玩具則是由美泰公司生產的Hello芭比,他強調稱。
“根據這款娃娃的產品說明,其能夠通過互聯網連接與ToyTalk云相關聯,從而使用其中保存的數千條由用戶錄制好的語音,”他表示。“當然,根據供應商的管理政策規定,其會對相關對話錄音加以嚴格保護。”
▲智能手表
今年早些時候,惠普公司對十款最具人氣的智能手表產品進行了測試,并發現它們全部存在著嚴重安全問題。舉例來說,其中半數壓根不提供任何密碼驗證或者其它鎖定驗證機制,因此任何人在撿到這款手表后都能立即加以使用。
其中很多產品還存在著安全升級、驗證以及數據加密功能缺失等問題。與這些設備相關聯的應用本身往往也存在隱患,這可能導致個人隱私遭到外泄。另外,如果黑客能夠接入到智能手表當中,那么他們也有可能訪問到用戶的移動設備或者其接入的網絡環境。
除此之外,根據惠普公司安全研究負責人Daniel Miessler的說法,智能手表市場目前還處于新興階段,因此消費者們很難了解具體設備需要在哪些方面進行安全關注。
舉例來說,惠普公司自身就沒有公布此次測試的具體手表型號。
▲健身追蹤器
根據英特爾Security公司的Snell所言,黑客在侵入健身追蹤設備或者其關聯網站后將有可能訪問到大量隱私信息。
不過除此之外,黑客們也可以利用該設備接入到與之匹配的智能手機、平板設備、計算機或者家庭網絡等等,英特爾Security公司的Snell解釋稱。
“這是一款網關設備,”他表示。
再有,事實上今年十月已經有一位來自安全企業Fortinet公司的安全研究人員演示了如何通過藍牙連接對高人氣Fitbit健身追蹤裝置進行攻擊。
不過Fitbit公司安全主管Sash Biskup則表示,盡管攻擊者確實能夠向Fitbit發送數據并查看其中的回顯信息,但該產品并不存在安全漏洞,即其不可能將該數據發送至聯網計算機或者利用其軟件bug進行惡意軟件傳播。
“這項軟件bug不會造成任何安全漏洞,”他解釋道。“我們的客戶端不會利用該數據進行任何操作。我們花了大量時間對此進行觀察。”
不過Fortinet公司對于Fitbit方面的說法并不認同,在其看來后者的產品確實存在安全漏洞,允許攻擊者“向Fitbit設備發送二進制代碼,并通過藍牙連接將其進一步發送至與該設備匹配的計算機當中。”
“我們支持這項聲明,”Fortinet公司全球企業通信副總裁Sandra Wheatley Smerdon指出。“我不知道Fitbit方面是否已經修復了這項安全漏洞,我們還沒有對研究結果進行后續追蹤。”
