昨天，一則關(guān)于“家中攝像頭突然說話”的新聞持續(xù)霸榜微博熱搜。

據(jù)《全球時(shí)報(bào)》報(bào)道，美國一對(duì)夫婦的Nest智能家居攝像頭突然與他們說話，無論是重啟電源還是修改密碼都無所功用，最后聯(lián)系運(yùn)營商修改了網(wǎng)絡(luò)ID才得以恢復(fù)平靜。

這并非網(wǎng)絡(luò)攝像頭存在安全隱患的首次信息曝光。

據(jù)Hackread消息，截至今年九月，研究人員在全球范圍內(nèi)發(fā)現(xiàn)了15000個(gè)私人網(wǎng)絡(luò)攝像頭存在安全漏洞。

為Wizcase工作的白帽黑客Avishai Efrat找到了來自多家制造商的外露設(shè)備，包括AXIS網(wǎng)絡(luò)攝像頭、Cisco Linksys網(wǎng)絡(luò)攝像頭、IP Camera Logo服務(wù)器、百萬像素網(wǎng)絡(luò)攝像機(jī)MOBOTIX、WebCamXP 5和Yawcam。

這些攝像頭已經(jīng)被歐洲、美洲和亞洲多個(gè)國家的家庭用戶和企業(yè)安裝使用，在某些情況下，黑客可以對(duì)攝像頭進(jìn)行管理員訪問、獲取用戶信息和獲得位置定位。

Wizcase網(wǎng)絡(luò)安全專家Chase Williams解釋說，網(wǎng)絡(luò)攝像頭制造商大量采用先進(jìn)技術(shù)占領(lǐng)市場，但這同時(shí)也會(huì)導(dǎo)致開放端口缺少認(rèn)證機(jī)制。

目前，家居攝像頭對(duì)公網(wǎng)開放安全導(dǎo)致的安全漏洞已是全世界共同面臨的重要挑戰(zhàn)：

常見的攝像頭漏洞包括遠(yuǎn)程命令執(zhí)行漏洞、任意文件讀取漏洞、用戶密碼重置漏洞、未授權(quán)訪問漏洞、登錄繞過漏洞、存在隱藏后門等漏洞。

這些漏洞中的任何一個(gè)都能給用戶帶來極大的安全風(fēng)險(xiǎn)，導(dǎo)致隱私信息泄漏。比如黑客可以通過漏洞直接獲取用戶密碼配置和截圖，甚至在不登錄的情況下查看監(jiān)控截圖。

物聯(lián)網(wǎng)設(shè)備安全問題需重視

一次又一次網(wǎng)絡(luò)設(shè)備安全問題的曝光，需要引起業(yè)界的足夠重視。

以往，每個(gè)人既可以主動(dòng)加入網(wǎng)絡(luò)，也可以選擇切斷網(wǎng)絡(luò)；但在萬物互聯(lián)時(shí)代，每一個(gè)人都無法與網(wǎng)絡(luò)無縫分割。

未來，在AI等技術(shù)的助力下，物聯(lián)網(wǎng)將具有更加強(qiáng)勁的發(fā)展空間，更為寬廣的應(yīng)用領(lǐng)域，這也意味著物聯(lián)網(wǎng)將會(huì)面臨更多的網(wǎng)絡(luò)威脅和攻擊。

目前針對(duì)物聯(lián)網(wǎng)的攻擊事件主要有以下特點(diǎn)：

1）攻擊的影響力越來越大，如發(fā)生在2016年的“美國斷網(wǎng)”事件、“德國斷網(wǎng)”事件，開啟了物聯(lián)網(wǎng)設(shè)備被大規(guī)模利用攻擊網(wǎng)絡(luò)的先例；

2）被攻擊的范圍越來越寬泛，小到攻擊攝像頭、心臟起搏器等，大到攻擊國家電網(wǎng)、核電站等，這些都成為了黑客攻擊的目標(biāo)；

3）攻擊的手段越來越智能和多樣，如2017年10月發(fā)現(xiàn)的大規(guī)模僵尸網(wǎng)絡(luò)IoTroop，該病毒已經(jīng)可以智能識(shí)別設(shè)備的類型，并綜合利用設(shè)備的未修復(fù)漏洞和弱口令等安全問題。

此前，較多安全研究人員在評(píng)價(jià)物聯(lián)網(wǎng)設(shè)備安全問題為“三無”：無安全、無加固和無人值守。

今天，還需要加上一條：無意識(shí)。

所謂無意識(shí)，則是設(shè)備的制造方、使用方、安裝方等均無安全意識(shí)，近些年由于安全事件的驅(qū)動(dòng)，大型設(shè)備制造商的安全意識(shí)提高迅速，但是其他相關(guān)方的安全意識(shí)還有待提升。

此外，當(dāng)前仍然還有很多無安全產(chǎn)品在市場上泛濫。譬如，去年質(zhì)檢總局通過央視曝出來80%的智能攝像頭存在安全缺陷，這些不合格產(chǎn)品中大部分是一些資質(zhì)不全的小廠商生產(chǎn)的產(chǎn)品。

導(dǎo)致物聯(lián)網(wǎng)存在安全風(fēng)險(xiǎn)的原因較多，概括起來有如下原因：

對(duì)于整個(gè)物聯(lián)網(wǎng)產(chǎn)業(yè)來說，設(shè)備的制造商、集成/安裝商、用戶、管理機(jī)構(gòu)等，在物聯(lián)網(wǎng)安全方面所做得工作都有所欠缺，導(dǎo)致目前看到的物聯(lián)網(wǎng)中的安全問題較多。

這些安全問題概括起來主要有：

1）弱口令，這也是當(dāng)前物聯(lián)網(wǎng)面臨的最大安全問題；

2）缺乏有效的設(shè)備升級(jí)機(jī)制，當(dāng)設(shè)備發(fā)現(xiàn)存在漏洞時(shí)，無法做到快速有效的全面升級(jí)；

3）安全機(jī)制的設(shè)計(jì)上存在各種問題，如此前被詬病最多的物聯(lián)網(wǎng)設(shè)備的密碼恢復(fù)機(jī)制；

4）設(shè)備由于開發(fā)、設(shè)計(jì)等原因造成的存在安全漏洞。

面對(duì)以上問題，傳統(tǒng)做安全的研究人員可能認(rèn)為業(yè)界早有針對(duì)相關(guān)問題的最佳安全實(shí)踐，比如弱口令問題就使用一機(jī)一密的強(qiáng)口令；如果設(shè)備不升級(jí)那么就讓設(shè)備自動(dòng)強(qiáng)行升級(jí)；而對(duì)密碼恢復(fù)問題，用戶忘記密碼，只需設(shè)計(jì)一個(gè)reset鍵。

其實(shí)這些做法在之前傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)里確實(shí)是行之有效的實(shí)踐方法，但是這些做法到了物聯(lián)網(wǎng)里面，它就可能不再適用了。

在實(shí)際落地中，大多物聯(lián)網(wǎng)設(shè)備都是布放在海底、高寒/高溫、核輻射等環(huán)境中，如果這些設(shè)備遺忘了密碼，如此設(shè)計(jì)一定是不合理的。

另外單一物聯(lián)網(wǎng)管理員往往需要管理成千上萬的設(shè)備，如果要求這些設(shè)備每個(gè)密碼都是不同的強(qiáng)密碼，這對(duì)于管理員來說絕無可能。

總結(jié)來說，整個(gè)物聯(lián)網(wǎng)設(shè)備數(shù)量巨大、分布十分廣泛，而且設(shè)備形態(tài)多種多樣。其實(shí)每個(gè)不同類型的設(shè)備，都應(yīng)該針對(duì)不同的業(yè)務(wù)場景做不同的安全設(shè)計(jì)，以達(dá)到最佳業(yè)務(wù)實(shí)踐。

物聯(lián)網(wǎng)的安全問題與傳統(tǒng)網(wǎng)絡(luò)中的安全問題的解決方法并不能做到完全一致，有些做法甚至?xí)休^大的差別，而不論怎么做，其目的都是要在保證業(yè)務(wù)運(yùn)轉(zhuǎn)正常的前提下實(shí)現(xiàn)安全，安全必須跟業(yè)務(wù)進(jìn)行緊耦合。

另外，安全是一個(gè)系統(tǒng)工程，要想從技術(shù)角度保護(hù)用戶隱私不被泄漏，應(yīng)該遵照當(dāng)前業(yè)界的最佳安全實(shí)踐、各國的法律法規(guī)等對(duì)整個(gè)物聯(lián)網(wǎng)系統(tǒng)進(jìn)行縱深防御設(shè)計(jì)與開發(fā)，安全覆蓋物聯(lián)網(wǎng)系統(tǒng)的設(shè)計(jì)、開發(fā)、測試、實(shí)施、使用、管理等各個(gè)環(huán)節(jié)，任何一個(gè)環(huán)節(jié)安全的缺失或不足都會(huì)導(dǎo)致用戶隱私被泄漏。雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。