保护物联网设备的10个安全警告

 

物联网是一把双刃剑。从配备智能门锁的智能家居到通过Wi-Fi自动煮沸早茶的水壶，物联网技术让人们的生活变得简单得多，但其成本也可能要高得多。在物联网安全中，存在一些安全性权衡因素，并且可能弊大于利。

 

在物联网技术进入企业、家庭以及日常生活之前，人们需要了解表明安全重要性的一些例子。

 

物联网安全性：物联网设备使人们容易受伤害

 

黑客可以通过网络上的设备进入企业的网络。网络安全服务商Darktrace公司首席执行官Nicole Eagan介绍了一起物联网设备安全事例，该事例发生在美国一家未透露名称的赌场，网络攻击者能够通过该赌场的一个水族馆智能温度计的漏洞访问其数据库。

 

在讨论物联网设备安全性指南之前，人们需要了解一些物联网安全漏洞的例子。

 

家用消费类智能设备的安全漏洞

 

如果看过有关Alexa和Google Home智能助理中的安全漏洞是如何被欺诈并窃听用户的调查报告，那么人们对物联网设备安全性的担心是对的。尽管亚马逊公司和谷歌公司每次都会采取应对措施，但他们仍被更新的网络攻击技术所挫败。

 

除此之外，三星公司推出的智能冰箱也有安全漏洞，由于其显示屏与用户的Gmail日历集成在一起，即使已部署SSL来确保Gmail集成的安全，冰箱本身也无法验证SSL/TLS证书，这为黑客进入其所在网络并窃取登录凭据打开了大门。

 

值得称赞的是，三星公司在软件更新中修复了该错误，但当这个知名品牌都会遭到网络攻击并导致破坏时，这将让大量用户感到不安。这揭示了一个几乎不可避免的事实，即功能性往往优先于安全性，对于知名厂商更是如此。更重要的是，2015年，三星集团还表示将在其智能电视中收集和使用用户的数据：如果用户的口令包含个人信息或其他敏感信息，则这些信息可能通过使用语音识别技术捕获并传输给第三方。

 

例如全球知名的苹果公司在遭遇网络攻击方面也难以幸免。2019年2月，用户在苹果公司的FaceTime应用程序中发现了一个严重漏洞，网络攻击者可以在接受或拒绝来电之前访问某人的iPhone摄像头和麦克风。

 

随着网络攻击者找到巧妙的方法来逃避安全控制以窃取数据，造成的破坏或许只是一种破坏性的行为，但是，如果这样的事例发生在智能家居设施，那么将会发生什么?

 

物联网设备被Mirai公司等大型僵尸网络利用

 

Mirai是一种以物联网为中心的恶意软件，它以弱凭据来感染物联网设备，将其转变为远程控制的僵尸或机器人网络。尽管Mirai的创建者已被抓获，但他们已对外发布了该恶意软件的源代码(可能是为了混淆和分散注意力)，现在它具有多个变体。

 

僵尸网络已被用来发起多种DDoS攻击，其中一种攻击是针对罗格斯大学的网络攻击，另一种针对为Netflix和Twitter等知名厂商提供域名服务的Dyn公司的攻击。

 

植入式医疗器械的安全漏洞

 

在科技领域，几乎没有什么设备能逃脱网络罪犯的控制，其中包括医疗设备。

 

在2018年召开的一次黑帽会议上，WhiteScope公司的Billy Rios和QED Secure Solutions公司的Jonathan Butts展示了黑客如何通过远程控制技术攻击可以挽救患者生命的植入式医疗器械，并可能进行操纵对患者造成伤害。两位安全研究人员演示了如何禁用胰岛素泵并控制美敦力公司生产的心脏起搏器系统。作为回应，美敦力公司将这个漏洞清除，但并未承认这种情况的严重性，甚至在这个漏洞警报提交给他们570天之后，该公司仍没有积极解决这个问题。

 

人们为此可能推测，由远程控制的物联网设备组成的网络如何被用来摧毁电网(或用于供水系统的监控与数据采集系统，或控制天然气管道等)，或者婴儿监护仪可能被黑客攻击，这些设想会令人感到不安。但仍然可以肯定的是物联网设备的漏洞将会继续存在。因此，如果要避免危机，物联网设备制造商需要更加注意其中的安全风险，高级持续性威胁(APT)更加危险。