欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

左手便利,右手危险-盘点物联网安全的七个薄弱点

来源:本站整理 作者:佚名 时间:2018-08-23 TAG: 我要投稿

诸如智能家居等形式的物联网设备正在深入人们的生活,在企业环境中物联网设备早已无处不在。因此物联网安全的重要性也越来越高,本文罗列了7个物联网应用的薄弱点供大家参考。
1. 千奇百怪的网页用户界面
用户都喜欢一个好看、好用的网络交互界面。在物联网应用领域,网络用户界面可用于实现设备的控制、设置和集成功能,如使用多个智能LED灯泡构建Mesh网络等。功能很多,随之而来的问题也不少。

物联网设备的用户界面和企业网络安全领域的痛点类似,虽然不会被SQL注入这种问题困扰,但命令注入、跨站点脚本和请求伪造等手段仍可为犯罪分子大开方便之门,黑客可获取完整的系统权限并随时访问设备,监控甚至干扰用户的生活。
好在大多数物联网设备的网页界面安全问题可以部署常规解决方案,比如验证输入、强密码、不公开凭据、限制密码重试次数以及可靠的密码和用户名恢复流程等。
2. 被忽视的身份验证步骤
人们在选购物联网设备时,注意力往往会放在功能是否丰富这一点上,如控制家居产品、居住环境(如空调或者灯光氛围)、通过音视频对区域进行监控等功能,在帮助用户监控区域安全的时候,很少有厂商将设备的安全性当成卖点来吸引用户。这也从侧面反应出厂商和用户多少对设备本身的安全性重视得不够。很多物联网应用都缺乏对于身份的基本验证步骤,而有认证步骤的其实做得还不够。

对于物联网应用而言,需要两种类型的身份验证:
用户身份验证。鉴于物联网环境的复杂性,是否要求特定区域中的每个物联网设备进行安全认证,还是一次认证即可通行整个生态系统,这是在产品设计时厂商们常常面临的问题。大多数系统设计人员因为便利性而选择后者,这样一来,对于处在该物联网系统中心的设备或各设备共用的统一入口而言,可靠的身份认证步骤绝对不能少。
设备身份验证。由于用户不会在每个设备上进行身份验证,因此物联网中的设备应进行互相的身份验证,防止黑客将一些不受信任的设备,如被黑的路由器等,接入该网络。
解决上述风险的思路和第一条一样,就是要重视物联网应用的开发,不要光卖硬件,将配套的固件/软件当作卖点来开发。没有用户界面,设备间只是各种API接口的调用,因此无需设备的身份验证这种理由可以束之高阁了。
3. 千篇一律的默认值
用户名是“Admin”,密码也是“Admin”,这种情况在一些普通的路由器上很常见。用户用起来方便,不过“别人”用起来也方便。现在这个问题跑到了物联网设备身上。

默认的用户凭证信息会为物联网设备的安全带来巨大的风险。如果网络被黑客入侵,通过简单的猜解即可进入设备后台,获取端口信息、为每个用户设置管理员权限、设置网络参数等,这些都是和网络安全息息相关的设置。不仅是入口设备,整个系统中的设备都有可能被黑客全面接管。
除了完善入口网络或者基础设备的安全性之外,为每台产品设置不同的默认值将会是一个简单有效的方法。这一点主要还是厂商要付出努力,相比网页用户界面和身份验证体系的开发而言,要解决这个问题相对来说比较简单。
4. 不受重视的固件漏洞
物联网设备的硬件和软件两个领域发展历史不长,技术积淀也不够厚重,所以漏洞也频发。

开发人员也会经常积极推出漏洞补丁或者是功能性的更新。问题是它不像手机操作系统,对于用户而言难以感知,有时候哪怕是知道有新的固件,也懒得去更新。还有一种情况是,没有用户界面的物联网设备也是进行固件更新的一大障碍。
一般情况下,物联网设备放在某个地方时候就不会怎么移动,这样就给黑客提供了充裕的时间来实验各种方法和手段。之前发生的巴西20多万台路由器被劫持用于挖矿就是一个典型的例子,厂商早在漏洞发现后的第一时间里发布了新版固件,但是数月后仍有很多用户由于各种原因没有部署该固件,从而导致海量路由器被大面积劫持。
因此,有新的就用新的,要是实在用不了,看到了相关问题也要留个心眼,通过其他方法,如增加/调整网络防火墙、提升安全检查的频率来加固系统。
5. 人见人爱的云端
物联网设备的蓬勃发展离不开国内外各大厂商对于云端系统的大量投入,现在没有几个消费电子领域和商业领域中的物联网系统,能够不依赖云端进行大量的任务处理和命令识别和运行等操作。如果要进行语音识别/交互时,这就更跑不开了,而设备与云端建立的链路可能成为一个薄弱点。

物联网设备与云端通信所用的消息类型多种多样,有简单的数据包传递,也有会语音和视频流的发送,处理任务列表、日历事件,以及运行DevOps框架和工具指令等高级任务也是常见。这些敏感数据流是否通过加密隧道传输?你知道吗?
这里的问题前面几个一样,主动权并不掌握在用户手里。设备采用哪款物联网芯片?接入哪个云平台?使用的API接口是什么?接口支持的加密协议有哪些、启用了哪个?如果身边有物联网设备的朋友可以自己问问自己清楚这些问题的答案否。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载