随着大量联网设备涌入我们的数字化生活中,物联网安全成为 2018 RSA 安全大会上的中心话题也不足为奇。不过虽然本周大会上发表了无数关于物联网漏洞的内容,但并未给出一个明确的解决方案。
赛门铁克公司产品管理高级主管 John Cook 表示,目前物联网设备制造的情况就像是淘金热……所有人都想匆忙捞一把。实际上我们看到的都是放出言论但并未进一步考虑安全问题。
市场研究公司 IDC 指出,物联网智能家庭设备的市场潜力十分诱人,消费者物联网支出将在2018年达到620亿美元,将成为第四大行业。然而,其中很多设备并未或很少将安全性考虑在内。
2016年爆发的由30万易受攻击的物联网设备组建而成的 Mirai 僵尸网络攻击表明,缺乏物联网安全会带来多么大的影响。
安全状况几无改变
然而,自此之后,联网智能家庭设备的安全性几乎并未改观。ESET 公司的全球安全布道者 Tony Anscombe 在花费数月时间测试了12款物联网设备如智能秤、可穿戴设备等候证明了这一点。他从测试中发现了很多安全问题,如以明文形式存储密码、加密问题等。他在 RSA 大会上指出,测试发现了未加密的固件更新、未加密的摄像机视频流、明文形式的通信和服务器以及未受保护的密码存储等,而且还发现了隐私策略问题。
例如,一款连接在智能手机上追踪体重变化并收集身体脂肪和 BMI 信息的诺基亚健康人体+体重秤被指易受中间人攻击,黑客能够拦截固件更新并访问这些数据。
隐私问题提上日程
物联网安全在过去几年来一直为人诟病,而物联网设备隐私也是 RSA 大会上频频提及的痛点,尤其是随着语音助手设备如亚马逊 Echo 和 Google Home 的崛起之后更是如此。
Ansombe 指出,物联网设备存在的其中一个可能并非属于漏洞的问题是,我们可能在过度分享数据。
在物联网体重秤的案例中,体重秤可以连接至亚马逊 Alexa,那么数据中就会存储体重秤和用户之间的各种交互,而这是网络犯罪分子梦寐以求的事情。
安全需要厂商和消费者的共同努力
尽管物联网设备中存在多种安全问题,但仍然需要物联网设备厂商和终端用户联合采取保护措施。
物联网设备厂商将安全视作比小型低功耗联网设备所需的其它因素更昂贵的替代品。例如,Fitbit 公司的安全高级主管 Marc Bown 指出,很多联网设备厂商宁愿使用低功耗价格低廉的芯片也不会选择那些安全性高的芯片。他指出,厂商以加密换取更低功耗的芯片、更低的价格、存储空间和电池寿命。
另外一个问题是,物联网设备使用了如此多的组件,包括处理器、云和网络服务、设备和应用等,导致厂商在面对安全问题是会在不同方面挣扎选择。他强调称,系统的每个部分都是重要的,因为漏洞可存在于应用和平台、设备、传感器和云中。
很多设备厂商在升级物联网设备安全方面能采取的第一步是了解设备的使用方式,并且在创建威胁模型时应用这种理解。Bown 指出构建威胁模型十分重要,厂商需要考虑设备如何保护自身的所有情况。
Cook 表示,设备厂商重视安全最终需要终端用户来推动,但要求更好的安全性并不一定来自消费者。他指出,安全尚未是优先考虑因素……目前还不存在这样一种情况:你会感到个人化的痛苦,就像你已经发现盗贼一样。厂商需要确保更新安全而且不给用户留下任何选择。
Anscombe 指出,用户可认识到通过联网设备尤其是语音助手传递了多少私人数据实施自我保护。他表示,只在不涉及个人问题的清下使用虚拟的个人助手,但如果你使用了 Google Home 这样的助手就要当心了,不要在社交媒体或社交网络上共享个人数据。