930
智能家居產品存在的幾大安全問題
智能家居產品存在的幾大安全問題
隨著互聯網的發展,人們似乎很難再互聯網上消失匿跡,如果有不法之徒掌握了你關於大量的信息不光說一些刑事犯罪,光各類精準推銷就可以讓人覺得後背一涼。而智能家居產品作為家具是最貼近用戶最隱私最生活的一麵的,如果智能家居產品存在安全漏洞,那麼對用戶來說危害是非常大的。
根據高勝分析,智能設備通常是一個相對封閉的係統,和網絡發生不間斷的連接,其自主防護能力較弱,漏洞不容易被修複,形成了“穩定”的攻擊源。而一旦爆發安全問題,又將造成較大社會損失甚至人身安全威脅。
這裏我們就將整理一些智能家居目前亟待解決的安全問題
路由器
目前路由器廣泛的被作為智能家居聯網控製的中心入口,一旦路由器淪陷基本上整個智能家居產品構成的家庭物聯網依舊是被一鍋端了。而目前路由產品的漏洞還真的是不少,作為智能路由器係統的源頭,OpenWRT 上一次的更新還是 Mon, 16 Mar 2016 發布的 Chaos Calmer 15.05.1,而下遊的廠商產品會涉及到非常多的第三方APP,那麼漏洞就又來了,而且很多用戶在安裝第三方APP的時候很多都是通過 Root 提取後實現的,直接給了 APP root 權限。
上麵說的都是一些動手性強的,很多動手性不強的用戶,智能路由器作為開箱即用的產品,輸完寬帶賬號密碼後就不聞不問了,就算廠家給準備了漏洞補丁也不見得會去安裝。
建議: 一分錢一分貨,建議購買大廠家的智能路由器,並且養成不安裝需要 Root 提權的第三方 APP,養成更新路由器係統的好習慣。
兒童手表
很多家長為了實時了解孩子的位置、體溫等健康信息可能會給孩子購買兒童手表。不過如果遠程查看終端(WebUI、APP)設計的脆弱就會將孩子的信息暴露出來,特別是位置信息,如果孩子的位置信息被人販子知道了,簡直可怕。而如果兒童手表的位置定位是為了在孩子失蹤的時候提供有力的信息參考,但是如果手表的定位本身就存在誤差,那就就會為孩子的救援提供完全錯誤的方向。
除了一些軟件上的安全問題,還有手表的異常發熱可能會講孩子燙傷,不健康的設備原料也可能對孩子身體造成不良的影響。
建議: 購買大廠家的智能手表,並且在網絡上查看是否存在相關信息泄露、定位失靈的信息以供參考。
車聯網
2014年,某款車聯網產品存在漏洞,可以遠程破解藍牙密碼,並實時獲取汽車數據,比如車速、溫度等等信息,由於設備硬件不支持寫OBD接口(車載診斷係統接口),否則就可能遠程控製汽車。
而在2015年的 BlackHat USA 大會上,著名安全研究人員 Charlie Miller 與 Chris Valasek 就演示了如何遠程黑掉一輛汽車,這也成為菲亞特克萊斯勒召回140萬輛汽車的緣由,更加引發人們對車聯網安全的關注。
車聯網的設備基於廠商安裝,而根據汽車 4S店 的尿性,基本上你要購買了什麼有係統的產品,如果要到店升級是需要自己在花費一筆費用的,而自行安裝又不會,就導致了為了省錢而不升級係統的問題,進而導致車輛充滿了漏洞,或許以後好萊塢大片裏特工要偷一輛車來開開就不用再搬出兩條線了而是直接手機掃描一下汽車就給自己開門了。
建議: 根據車聯網的狀態目前最好謹慎選擇車聯網設備。
智能電視
目前來說智能電視的主要操作係統都是基於 Android 的,而 Android 係統應該本身就被不少黑客找出了數量可觀的漏洞,而智能電視廠家往往注重功能性更新而非安全性更新,而用戶對於智能電視係統更新的習慣也並沒有養成。
這就導致了,智能電視很可能被人控製對家庭環境進行錄音、錄像,以獲取相關信息。想象一下自己再床上嘿咻嘿咻的時候,而另一頭卻後人遠程直播著,是不是非常的可怕?
建議: 還是購買大廠家的設備,並及時更新電視係統,如果不觀看電視的情況下盡量關閉電源而非待機。
整理
智能硬件設備八的九大突出問題表現為:數據存儲不安全、服務端控製措施部署不當、傳輸過程中沒有加密、手機客戶端的注入、身份認證措施不當、密鑰保護措施不當、會話處理不當、敏感數據泄露和用戶安全習慣暫時沒有養成。
最後更新:2017-06-29 15:02:02