- A+
在物联网方面,CES的优先考虑是“令人惊叹的因素” - 但并非如此关注安全性。
随着消费电子展(CES)本周的到来,头条新闻中充斥着来自展会的另类产品 - 包括从智能皮带一直到连接厕所的所有产品 。
但CES新闻(甚至是描述这些设备的网页)似乎缺少一个重要的主题 - 这些新的物联网产品有多安全?
对于专门研究连接设备的信息安全专家来说,遗憾的是,缺少的安全件在展会上并不新鲜。
“不幸的是,在CES上推出的新设备给用户带来了安全问题,主要是因为制造商拥有'先连接,安全第二'的开发方法,”Armis首席执行官Yevgeny Dibrov告诉Threatpost。 “这些新设备令人兴奋,可能的现实是它们将遵循连接设备的传统,并且缺乏安全性。”
围绕连接设备的嗡嗡声继续增长,特别是受到语音助手飙升的刺激。 市场研究公司IDC的数据显示,2022年全球物联网支出将达到惊人的1.2万亿美元。 然而,许多这些设备仍在构建中,几乎没有安全性。
对CES上显示的小玩意的产品信息的审查没有详细说明为保护数据而采取的措施。 没有Threatpost发现,甚至在他们的描述或描述它们的网站上提到“安全”一词(采用Mui Smart Display ,一个显示视觉数据并且内置Google 智能助理的木材表面)。
“在CES上有很多进展,强烈关注增强的设备连接性,提供卓越的互操作性并带来更好的结果和性能,”VDOO的业务开发副总裁Ariel Kriger告诉Threatpost。 “这当然是以延长攻击面的代价为代价的。”
虽然劫持连接的伞或智能闹钟并不一定存在物理上的危险(至少我们已经看到),但是当涉及个人数据开放以获取其中一些可能不安全的智能时,肯定存在隐私影响家用设备。
从更大的角度来看,这些不安全的物联网设备为DDoS攻击创造了一个简单的表面,类似于2016年的Mirai 僵尸网络攻击 ,通过300,000个易受攻击的物联网设备(如网络摄像头,路由器和录像机)进行协调。
改变潮汐
虽然物联网在安全方面历来一直很薄弱,但改变潮流可能会使谈话的焦点从新的物联网产品的酷炫转移 - 转而关注它们的安全性。
关于连接设备的隐私和安全风险的意识正在稳步增长 - 并且它正在逐渐渗透到消费者端。
事实上, 周一发布的一项黑莓研究发现,80%的受访者不相信他们目前使用互联网连接的设备来保护他们的数据。 高达84%的受访者表示,由于他们在数据安全和隐私方面的声誉,他们更有可能选择产品。
“毫无疑问,这些风险的意识在生态系统中正在增长,从连接设备的制造商,集成商,再到智能设备用户,”Kriger告诉我们。 “组织越来越精明地围绕其业务关键流程的威胁,这些设备的制造商正在制定如何最好地应对这些安全挑战的战略。 每个人都清楚,不解决安全威胁不再是一种选择。“
但是,对于大多数物联网设备制造商而言,情况仍然如此。 Armis'Dibrov表示他已经发现亚马逊和谷歌这样的大牌厂商在修补他们的语音助手设备时更容易使用 - 但其他设备制造商不愿意玩球。
“当我们向他们通报他们产品中的漏洞时,他们要么反应缓慢,要么根本没有回应,”他说。 “然而,这些设备并没有在家中严格使用,它们正由员工和供应商走进企业,每天都在工作网络上。 由于它们缺乏基本的安全功能,我怀疑这些设备最终会增加攻击面。“
安防措施
制造商可以采取几个步骤来提高物联网设备的安全性 - 从最简单的任务开始,例如跳过常见的硬编码默认密码。
但是还有一系列其他步骤来确保安全性,例如保持传入端口关闭(以避免打开telnet端口),确保自动更新,并在产品进入市场之前采用方法,如安全审核和笔测试。
“我们发现更多的漏洞,比以往任何时候都更快,因为公司在没有足够的渗透测试的情况下急于上市,”Pen Monie与Pen Test Partners告诉Threatpost。 “由于物联网供应商希望第三方能够处理其后端API服务,因此我们有越来越多的漏洞需要披露,而且调查结果越来越系统化。”