电话咨询 在线咨询 产品定制
电话咨询 在线咨询 产品定制
010-68321050

带来了实际便利的物联网,有哪些安全问题

五度易链 2018-10-18 2045 81

专属客服号

微信订阅号

科技最前沿

剖析产业发展现状

为区域/园区工作者洞悉行业发展

当产品与工具进行连接时,安全性就受到了威胁。传统的安全手段给开发者和使用者留下了不好的印象,同时一些过时的做法也无法满足安全性的要求。举个例子,开发者常认为,蓝牙配对对消费者来说是具有挑战性的,从2004年起,配对技术上的巨大变化、配对规范的更新不仅使设备与设备的连接过程变得容易,许多的安全特性,例如加密、信任、数据的完整性、用户隐私也被保护得更好。基于用户需求和对设备的适应度,蓝牙为用户友好、安全连接提供了几个配对方案以供选择。

 

  互联网的使用过程中也会遇到很多安全问题,这些安全问题物联网也会面临。而除此之外,物联网本身和物品信息相连的特性,在为大家带来了便利的同时,也带来了物联网的特有安全隐患。

  物联网的安全问题

  1.安全性能引争论

  当产品与工具进行连接时,安全性就受到了威胁。传统的安全手段给开发者和使用者留下了不好的印象,同时一些过时的做法也无法满足安全性的要求。举个例子,开发者常认为,蓝牙配对对消费者来说是具有挑战性的,从2004年起,配对技术上的巨大变化、配对规范的更新不仅使设备与设备的连接过程变得容易,许多的安全特性,例如加密、信任、数据的完整性、用户隐私也被保护得更好。基于用户需求和对设备的适应度,蓝牙为用户友好、安全连接提供了几个配对方案以供选择。

  最新版本的智能蓝牙技术建立在政府级别上,兼容FIPS安全性能,使用AES加密,ECDH加密和最新的低耗安全连接。然而有一些应用并不需要ECDH密钥生成或128位AES加密,蓝牙工具使得开发者可以根据自己所希望的加密程度来进行设计。

  2.缺乏方法普及

  一个常见的误解是,信标会追踪人们或者用户,事实上任何信标要完成的动作只是发送一个实时信号。一款智能设备上的应用能够通过在进行用户进程访问时设备是否接收到一个消息来判定访问是否成功,当用户下载和激活应用时,与这个信息的唯一连接消息发出。信标本身不做任何的数据收集。

  明确的相互作用原理和用户控制设备安全性的方法可迅速消除他们对安全性的恐惧和误解。例如,蓝牙的配对不仅仅是建立设备的连接,更是一种让用户去自主控制其设备安全性的模式。

  3.忽略用户权限

  给用户提供一种轻松、清晰的权限去管理他们设备的安全性,让他们相信设备与设备之间的信息交流是安全的。打个比方,我们经常使用的APP中有时会用到位置信息,开发者要做到的是,让用户自己去决定哪一款应用可以使用位置信息,哪一款不可以。当设计下一款智能产品时,开发者应该注重改善用户的权限管理能力。

  在版本4.2中有一个新功能,这项功能使得****连接蓝牙后在未经允许时很难追踪到设备信息。这项功能使得广告包里的MAC地址被替换为随机值,这些值的变化由制造商确定。

  4.功能性与安全性失衡

  在任何情况下,开发者必须评估该设备的安全性要求,在许多情况下,附加的安全性能会排除一些连接类型,这样便会限制设备的功能完整性。例如,计步器和智能锁的安全需求并不相同,消费者购买一个计步器去测量步数,由于用户个人的身份信息不会与之相关太多,那么这些有关步数的数据将不会被过分保护,但是对于智能锁来说则不然,安全性自然要比其功能更重要,这也就要求设计者们在注重安全性的同时,尽量完善设备的功能。

  物联网可能带来的安全威胁

  以下是现阶段企业和消费者最可能面临的物联网安全威胁

  1. 僵尸网络和DDoS攻击

  许多人在2016年9月听说Mirai僵尸网络时才首次意识到物联网安全威胁。据一些人估计,Mirai感染了约250万个物联网设备,包括打印机、路由器和联网摄像头。僵尸网络的创建者用它来发动分布式拒绝服务(DDoS)攻击,包括攻击网络安全博客KrebsonSecurity。实际上,攻击者利用被Mirai感染的所有设备,企图同时连接到目标网站,希望搞垮服务器,防止任何人访问网站。

  自Mirai首次见诸媒体以来,攻击者已发动了其他物联网僵尸网络攻击,包括Reaper和Hajime。专家表示,未来可能会有更多的此类攻击。

  2. 远程拍录

  黑客有可能在主人毫不知情的情况下,黑入物联网设备,拍录主人的活动,公众知道这一点还要感谢中央情报局(CIA),而不是感谢黑客。维基解密网站披露的文件表明,这个情报机构早就知道物联网设备的众多零日攻击,但没有透露这些漏洞,原因是希望利用这些漏洞秘密录下会揭露美国敌人的活动的对话。除了Android和iOS智能手机的漏洞外,文件还提到了智能电视的漏洞。很显然,犯罪分子也可能会利用这些漏洞实施不法勾当。

  3. 垃圾邮件

  2014年1月发生了有史以来已知针对物联网设备的一起攻击,攻陷了10多万个联网设备,包括电视机、路由器和至少一台智能电冰箱,每天发送30万封垃圾邮件。攻击者从任何一个设备发送的消息也就10条,因而很难阻止或查明攻击源头。

  这起早期的攻击绝非最后一起。由于Linux.ProxyM物联网僵尸网络,去年秋天物联网垃圾邮件攻击继续肆虐。

  4. APT

  近年来,高级持续性威胁(APT)已经成为安全专业人员关注的一大问题。APT的背后是一群本领高超的攻击者,比如国家或企业,它们发动复杂的网络攻击,难以预防或对付。比如说,摧毁伊朗核离心机的Stuxnet蠕虫和2014年索尼影业黑客事件就归咎于敌对国家。

  随着更多的关键基础设施接入互联网,许多专家警告,APT可能会对电网、工业控制系统或其他联网系统发起物联网攻击。有人甚至警告,恐怖分子可能会发动使全球经济陷于瘫痪的物联网攻击。

  5. 勒索软件

  勒索软件在家用PC和企业网络上已变得非常普遍。现在专家表示,勒索软件攻击者开始盯上智能设备只是个时间问题。安全研究人员已经演示了能够将勒索软件安装到智能恒温器上。比如说,他们可以将温度调高到95度,拒绝调回到正常温度,除非受害者同意支付用比特币支付的赎金。他们还能够对联网的车库门、车辆甚至家电发动类似的攻击。早上你肯付多少赎金来解锁自己的智能咖啡壶?

  6. 数据窃取

  获取敏感数据仍然是网络攻击的主要目标之一,比如客户名称、信用卡号码、社会保障号码及其他个人身份信息。据波耐蒙研究所声称,数据泄露事件让公司平均损失362万美元,相当于每条被窃取的记录141美元。在想方设法入侵企业网络或家庭网络的犯罪分子看来,物联网设备就是一条全新的攻击途径。比如说,如果一个保护不当的物联网设备或传感器连接到企业网络,这可能为攻击者提供了进入网络的新方法,有可能找到他们觊觎的宝贵数据。

  7. 入侵住宅

  随着智能锁和智能车库开门器变得更常见,网络犯罪分子也更有可能成为现实世界中的小偷。面对手头拥有高级工具和软件的犯罪分子,如果没有得到妥善的保护,家庭系统可能岌岌可危。令人不安的是,安全研究人员已证明,很容易黑入几家不同厂商的智能锁,智能车库门的安全性似乎并没有大大提高。

  8. 偷偷与孩子沟通

  物联网安全最令人不安的故事之一就是黑入婴儿监视器。一对夫妇曾发现,一个陌生人不仅用他们的婴儿监视器窥视其三岁大的儿子,还一直通过监视器与孩子说话。这位母亲曾听到陌生的声音说:“醒来,小男孩,爸爸在找你”,孩子说他吓坏了,因为有人在晚上通过监视器与他说话。

  随着更多的儿童设备和玩具连接到互联网,这种可怕的情景可能会变得更司空见惯。

  9. 遥控车辆

  由于车辆变得更智能,并连接到互联网,它们也容易受到攻击。黑客已证明,他们可以控制吉普车,将空调设到最高数值、换广播电台、开启雨刷器,最终让车辆停下来。这个新闻导致车企召回了140万辆车,但是这个漏洞背后的白帽研究人员表示,他们发现了另外的安全漏洞,克莱斯勒为召回车辆所打的补丁堵不了这些漏洞。虽然专家表示,汽车业在确保车辆安全方面有所改进,但几乎可以肯定的是,攻击者会在联网汽车中发现新的漏洞。

  10. 人体攻击

  有时候物联网不仅仅包含物件,还包括联网医疗设备植入到体内的人。电视连续剧《Homeland》的剧集围绕利用植入体内的医疗设备搞暗杀活动展开,美国前副总统Dick Cheney对于这种场景深为担忧,于是他关闭了植入其体内的除颤器的无线功能。这种类型的攻击在现实生活中还没有发生,但随着更多的医疗设备成为物联网的一部分,这种可能性仍然存在。

  物联网的相关产品在生产时,也要充分考虑到用户的安全性问题,最大程度的保护用户的信息。而在用户数据具有商业价值的今天,保护用户信息也是企业要遵守的基本道德。


本文由五度数科整理,转载请标明出处,违者必究!

评论

产业专题

申请产品定制

请完善以下信息,我们的顾问会在1个工作日内与您联系,为您安排产品定制服务

  • *姓名

  • *手机号

  • *验证码

    获取验证码
    获取验证码
  • *您的邮箱

  • *政府/园区/机构/企业名称

  • 您的职务

  • 备注