WiFi安全漏洞影响广泛，物联网安全隐患成发展痛点 - 2017物联网安全年报解析

如果WiFi存在重大安全漏洞，则几乎可以影响所有无线设备。人们的愿景

如今，我们的生活越来越智能，万物互联的时代正在悄然来临。从路由器、智能音箱、冰箱到汽车和工业设备，越来越多的物品连接到互联网。然而，飞速发展的物联网（指物物相连的互联网，即以互联网为基础，客户端向任意物体延伸和扩展），在给人们带来便利的同时，也随之而来的安全隐患。 ，成为物联网行业发展的痛点。

不久前，北京绿盟信息安全技术有限公司（以下简称“绿盟科技”）发布了《2017年物联网安全年度报告》（以下简称《年报》）。展示了我国物联网安全的现状、特点和特点。面临的主要安全风险。

安全隐患你了解多少？

当一台设备被感染成为“僵尸主机”后，就会“感染”其他设备，形成大规模的物联网“僵尸网络”

如今，路由器已经成为很多家庭的“标配”。大多数路由器都是通过IPv4地址单向连接互联网，外部网络无法依次主动访问。然而，存在大量以路由器为代表的物联网设备，也存在大量无法完全屏蔽的路由器，存在被外界“看到”的风险。 《年度报告》显示，目前存在安全风险的物联网设备中，路由器和视频监控设备在互联网上暴露最多。例如，中国有超过1000万台路由器暴露在互联网上。这些暴露的设备一旦存在漏洞，就面临被攻击的风险。

绿盟科技物联网安全实验室研究员张兴表示，近年来，不少新型智能设备接入互联网，但安全风险仍集中在应用成熟的相对传统设备上。它们也是感染恶意代码的主要物联网设备。

《年度报告》还发现，一些数量相对较少的物联网设备也存在安全风险。例如，商用车的远程通信统一网关、网络恒温器可能面临远程登录无密码保护、设备关闭、缺乏安全维护等风险。不仅是硬件，《年度报告》指出，一些物联网常用的操作系统也存在不同程度的安全问题。

很多物联网设备都是通过云端连接的，如果长期连接到云服务，安全风险就会增加。

“现实中，很多物联网设备工作场景都需要长期连接‘云’。随着物联网应用的深入，云服务将变得更加普遍。我们监测到，部分攻击者已经将攻击重点从传统服务转移例如新兴的物联网服务。”绿盟科技首席架构师杨传安表示，大数据时代，网络攻击更具目的性，攻击的技术手段不断增多，变得更加先进、更加隐蔽，黑客可能会攻击物联网为了利润。云服务进行攻击。

杨传安认为，物联网由多种设备组成，互联的环境使得安全风险迅速蔓延。因此，安全防护必须从全局的角度考虑。如果某个物联网设备存在安全风险，不仅影响单个设备，还可能引发系统性安全事件。

例如，某些设备中的弱密码和已知漏洞等风险可能会被恶意代码感染，成为“僵尸主机”。一方面，这些被感染的设备会“感染”其他设备，形成大规模的物联网“僵尸网络”；另一方面，它们接受并执行来自控制服务器的指令后，一旦发起大规模的DDoS（分布式拒绝服务）攻击，就会对互联网基础设施造成严重破坏。

对物联网安全重视不够

目前，许多物联网设备制造商专注于追求新功能，而对安全性关注不够。

物联网正在加速融入人们的生产生活。知名IT咨询公司Gartner预测，2015年至2020年，物联网终端年均复合增长率将达到33%，装机基数将达到204亿台，其中2/3是消费类应用。

哈尔滨工业大学计算机学院教授张伟哲介绍，目前主流的物联网管理模式包括直连模式、网关模式和云端模式。直连模式是指管理终端与终端之间直接连接，不经过其他节点。该模式一般用于短距离通信，如无线蓝牙、WiFi热点等；网关模式主要用于家庭和企业局域网，一般用于短距离通信。远程管理多个终端；云模式是指用户通过云服务管理各种设备，其特点是突破了设备管理的地理区域限制，例如智能家居、工业云服务等。

“无论是哪种模式，目前都很难完全杜绝安全隐患。物联网作为一项新技术，行业标准和相关管理才刚刚起步。但物联网拥有庞大的基础，扩散速度快，技术门槛低，已经成为互联网上的一项新技术，我们必须注意安全问题。”张伟哲说。

2017年8月，浙江某地警方破获一个在线制作、传播家庭摄像头破解、入侵软件的犯罪团伙。查获被破解、被黑的家庭摄像头IP近万个，涉及浙江、云南、江西等省份。安全专家表示，一旦攻击者获得远程控制权限，即使是一个小小的摄像头也可能成为泄露用户隐私的罪魁祸首。

360无线电安全研究院院长杨庆表示，许多物联网设备依赖于WiFi、蓝牙、GPS卫星导航等无线电通信技术。通信协议一旦出现漏洞，就会产生大量的安全问题和安全事件。例如，恶意WiFi热点可能会设置钓鱼网站，摄像头和麦克风可能会泄露人们的隐私。

《年报》认为，物联网安全问题突出，反映出当前众多物联网设备厂商对安全的重视不够。 “物联网设备常见的漏洞包括硬件接口暴露、弱口令、信息泄露、越权访问等，这些安全问题的技术水平不高，如果有安全团队协助工作，完全可以将他们消灭掉。”芽。”杨川安解释道。他认为，对于一些设备制造商来说，往往注重追求新功能而忽视安全性。由于物联网设备基数庞大，安全防护脆弱，物联网威胁将逐渐成为互联网常态。

张兴表示，无论是升级、配置还是补丁维护，物联网行业都非常薄弱。目前针对物联网的攻击手段与传统手段没有什么区别，只是在物联网领域找到了空间。例如网络嗅探、远程代码执行、中间人攻击等都是传统攻击手段在物联网场景中的应用。

如何防控物联网安全

未来大流量攻击将成为常态，每个物联网参与者都应该部署有针对性的防护措施。

杨川安表示，大数据时代，任何安全风险都可能被放大，造成个人信息泄露、财产损失甚至人身安全问题，影响人民生活和社会运行。

“物联网的安全威胁远未达到顶峰，物联网应用的终极追求是万物互联，实现信息共享，通过构建高度自动化、智能化的系统，为人们的日常生活提供便利。物联网在社会生活中越来越普及，随着手机的普及，应用场景将不断丰富，安全风险也将随之增加。”杨传安表示。

《年度报告》认为，未来物联网的DDoS大流量攻击将成为常态。这是因为物联网设备的增加带来了规模效应，最直接的负面影响就是攻击者发起DDoS攻击应用变得更加容易。安全专家表示，从实施难度、运营成本、风险和收益等角度来看，DDoS攻击是一种有效的攻击形式，在相当长的时间内仍将是常见的攻击方式。

《年报》分析称，目前，物联网应用还比较新。在监管机构出台相关法律法规之前，制造商缺乏对整个产业链进行安全保障的动力。

“从目前的市场环境来看，厂商强调智能功能设计，创新和速度是物联网行业的主流，安全是可选的选项，这使得物联网环境更加脆弱。”杨川安解释道。

绿盟科技物联网安全解决方案总监刘红利表示，处理物联网安全问题涉及物联网设备提供商、物联网平台提供商、网络提供商和普通用户等多个参与者。每个环节、每个参与者都有所贡献。

刘红利建议，不同物联网参与者可以根据自身特点有针对性地部署防护措施：物联网设备提供商应确保终端安全，引入安全开发流程以提高终端安全性，并在产品上市前进行安全评估。 ;物联网平台提供商应重点关注平台安全以及设备、移动终端与自身之间的连接是否安全。由于在平台安全中，大部分物联网终端数据都包含隐私信息，数据安全就显得尤为重要。

“无论是家庭还是企业用户，安全性都应该是一个重要的考虑因素。购买产品时，优先考虑带有安全网关的产品。”刘红利说道。他还建议，用户在购买智能产品后，应尽可能更改初始密码和弱密码，加强用户名和密码的安全性。同时，将默认端口修改为不常用端口，增加端口开放协议的检测难度，并及时升级设备固件。 《人民日报》（2018年4月9日第20页）