- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
一、智能家居中存在的安全問題
目前包括無人機、智能電源、智能洗衣機、智能微波爐、智能攝像頭等智能硬件產品,隻要保持電源連接、網絡連接狀態就有可能被黑客通過電腦進行遠程控製,存在較大的安全隱患。這些問題的曝光不僅給智能家居企業敲響了一個警鍾,也讓正在享受智能家居的消費者熱情冷卻下來。該如何解決這一安全漏洞,成了大家一致關心的問題。
1.物聯網的安全問題
根據Gartner報告預測,2020年全球物聯網設備數量將高達260億。目前物聯網安全標準滯後、智能設備製造商缺乏安全意識,上述因素都為物聯網安全埋下極大隱患。物聯網當前階段主要存在以下安全問題:
個人信息泄露
未被妥善處理的大量數據會對用戶的個人隱私造成極大的侵害。因為我們每個人都是數據,實際上隻要用網絡服務商提供的網絡服務,我們的數據都會被傳送到雲端,信息被存儲起來。人們麵臨的威脅不僅限於個人隱私泄漏,還有網絡服務商基於大數據對人們狀態和行為的預測。
傳統的防護邊界削弱,物聯網易被攻擊
當所有設備都變的更具智能化,並且將他們接入到互聯網後,網絡邊界的概念會被削弱。接入點越來越多,整個係統也越大,被攻破的可能性也會越大。例如,現在很多設備都會通過藍牙、WiFi模塊接入互聯網。這樣的連接方式會存在很多被黑客利用的點,而且攻擊形式多變,使得安全防守端的挑戰越來越大。
物聯網時代還存在著傳統的網絡攻擊。如阻塞攻擊、碰撞攻擊、洪泛攻擊與信息篡改等威脅。
2.智能設備自身的問題
物聯網時代的智能設備也存在著諸多問題,在不經意間很可能就會泄露自己的隱私信息。為了直觀的揭露設備中存在問題,H3C攻防團隊曾對某款產品的智能攝像頭做過一次詳細測評,我們發現了設備中隱藏的安全問題:
傳輸過程未加密
在H3C攻防團隊測試過程中,發現該款智能家庭攝像頭在傳輸過程中使用了一定的加密方式,采用了HTTPS協議對請求控製的內容進行傳輸加密。但是由於廠商對API接口的配置不當,造成了用戶可以通過80端口與設備建立起連接,並對通信的數據包進行截獲,修改請求的端口號就可以獲得明文的數據。
用戶隱私泄露
在今年的RSA2016大會上隱私顧問Rebecca Herold表示,大量物聯網設備發布,沒有任何安全和隱私控製。設備泄露的隱私裏麵會包含用戶的生活數據包括家裏的溫度、位置、光照等信息。最主要的還包括家庭內部的視頻信息,通過對大量的智能家庭攝像頭的使用和測試發現,大部分的智能家庭攝像頭都存在繞過身份驗證控製設備的問題。不僅如此,還有一部分的智能家庭攝像頭在用戶獲得token之後,通過分析可以查看到用戶和設備的對應關係,修改設備標識,就可以橫向越權控製其它用戶的攝像頭,看到攝像頭中的內容。這樣的操作是在遠程並且沒有任何感知的情況下就能完成了。這對於用戶隱私的危害是非常大的。
未存在人機識別機製
H3C攻防團隊通過測試發現,智能攝像頭由於未采用人機識別機製,在注冊流程、找回密碼流程等過程中,導致可以強製修改用戶密碼,從而獲取攝像機的控製權限。整個過程中用戶都毫無感知,因此對用戶的隱私造成了巨大影響。
未對客戶端進行安全加固
H3C攻防團隊在測試中還發現,該智能攝像頭的手機APP端代碼沒有進行混淆,可以被輕易的逆向分析出源代碼,對APP接口代碼實現流程進行逆向分析,可以得到控製流程,登錄流程方麵的邏輯。這就造成可以通過APP而不需要設備就可以直接控製智能攝像頭的目的。
智能家居設備存在著硬件調試接口
目前智能設備安全措施包括身份認證、數據加密、反硬件調試等。攻擊者接觸智能設備後,可以通過物理調試接口對設備進行修改,進而達到攻擊的目的;同時攻擊者可以通過遠程連接智能設備,通過暴力破解的方法攻破口令,進而控製智能家居設備。
未存在遠程更新機製
H3C攻防團隊發現該款智能攝像頭未存在遠程固件更新機製,無法隨時隨地的給設備打補丁。因此攝像頭即使出現了嚴重漏洞,也無法及時的修補該漏洞。從而設備產生的風險就需要由所有的用戶來承擔。
二、物聯網相關安全建議
隨著安全威脅的不斷發展,以及我們對安全理解的不斷加深,開始對安全的本質進行思考,正因為如此出現了基於木桶原理的安全防護體係。木桶原理簡單的說就是整個係統的安全係數取決於最弱一環,即短板理論,因此整個安全體係的建設就是尋找整個網絡的所有安全邊界,然後對這些安全邊界進行防護,避免安全短板的出現。
我們呼籲相關廠商在推出智能設備的同時,也應當將物聯網設備的安全性放在更加重要的位置上。同時建立相關的防護體係,如:加強對身份的認證識別,增強數據傳輸過程中的加密體係,及時發現相關的漏洞,定時更新漏洞補丁;甚至可以提供相關雲安全的解決方案,畢竟基於雲+端+邊界的安全模型可以很好的解決這一安全問題。例如BOB登陆 的大安全的解決方案就能很好的做到這一方麵的安全防護,有針對雲端的天機係列產品,針對端的IPS係列,針對邊界的防火牆係列。這些產品能夠很好的保障區域的信息安全。
另外,智能家居的使用者也需要對設備帶來的風險有一定的認知,更加注重個人隱私安全。如何能夠保障自己的智能家居設備的隱私不會泄露,這裏給大家一些建議。
首先消費者在購買時候要對所選智能家居的品牌進行一些調查,看看在互聯網上能不能搜索到相關設備的一些漏洞。
在使用智能家居的時候,要注意設置一定強度的密碼,並且及時關注智能家居設備軟件的提醒。若發現軟件頻繁的提示收到短信驗證碼的信息,使用者就要及時修改相關密碼。
使用者要不定期登錄智能家居的控製界麵。若發現軟件中設定的參數經常變動的情況,就需要提高自己的警惕,保障智能家居的控製權在自己的手中。
提高使用者自身的安全意識,注意網絡安全谘詢,關注智能家居方麵的安全資訊。
結束語:隨著物聯網技術的飛速發展,物聯網的應用領域必將會越來越大,這種趨勢給人們的生產和生活帶來極大便利的同時,也將麵臨著各類安全威脅。隻有認清楚當前的安全威脅,才能從安全技術防範和法律兩個方麵著手,有效防止物聯網中的信息在傳輸過程中出現安全問題,從而促進物聯網健康快速發展,為人類社會做出突出的貢獻。
