极棒实验室BlackHat发布报告: loT设备或成僵尸网络孵化器
今年3月,维基解密公布了8761份秘密文件,直指美国中央情报局(CIA)利用漏洞黑入用户的智能电子设备,远程操纵并对用户进行监听。文件显示,CIA开发的黑客软件可以绕过加密的智能电视操作系统,使智能电视变成窃听工具。
北京时间3月30日,世界黑帽大会BlackHat Asia在新加坡举办,来自极棒实验室(GeekPwn Lab)的安全专家宋宇昊与刘惠民带来了IoT设备漏洞挖掘与利用的演讲,通过对GeekPwn(极棒)大赛上陆续失守的IoT设备进行技术和数据分析,揭示了物联网安全不容乐观的现状,也对用户如何保护个人设备,隐私安全方面提出了建议。
极棒实验室安全专家宋宇昊
loT智能设备在“漏洞百出”中飞速发展
宋宇昊在会上表示,虽然物联网正在飞速发展,但是物联网的信息安全性却相对滞后。在历届极棒黑客大赛的IoT设备比赛项目中可以看到,IoT设备面临两大方面的问题:一方面是漏洞数量多,另一方面是漏洞危害大。自2014年极棒黑客大赛伊始起,所有的漏洞(117个)都是高危漏洞并且直接导致黑客全权控制设备。其中83个漏洞未涉及内存级别(例如缓冲区溢出漏洞),74个漏洞可以独立被利用。而这些低级但危害较大的漏洞也说明了,在IoT设备这个新兴的市场,产商还在专注于实现产品的核心功能,而忽略了设备安全。
同时,在物联网时代,每个人会使用很多台IoT设备,很多IoT设备是永远在线的,但大多数IoT设备没有屏幕或只有一个小屏幕,因此使用者很难发现设备异常。台式电脑,智能摄像头、POS机、智能手表,智能插座都有可能成为新的入侵“入口”。 基于上述情况,宋宇昊表示:“我们完全可以预见到,将会有更大的威胁到来。”
loT设备或将成为大规模“杀伤性武器”
近年来,loT智能设备漏洞频现,在刚刚过去的2016年发生的几起全球重大网络安全事件中,都能看到物联网攻击的身影。僵尸网络病毒Miria引发的美国网络史上重大断线事件、CIA恶意软件“哭泣天使”利用智能电视漏洞实行全球范围监听事件,数以百万计的 手机 、路由器、摄像头、智能电视化成“罪恶的帮凶”。对此,极棒实验室安全专家宋宇昊表示,GeekPwn黑客大赛很早就已经关注到loT设备的安全问题,三年间,向极棒提交的漏洞中,路由器漏洞数量最多,占比近三成,覆盖11个品牌,囊括了中国几乎所有的主流品牌,其中一半以上品牌路由器全球畅销。
同时,宋宇昊也表达了自己的担忧:尽管已经发生多起重大安全事件,但大多数的loT设备用户却依然没有意识到loT设备漏洞的巨大危害。由于IoT设备有丰富的传感器和功能,一旦它被控制,就能够做非常危险的事情。在历届的极棒黑客大赛上,你可以看到:路由器可以监控、劫持网络流量,导致用户隐私泄露;POS机可以查询交易记录并盗刷现金;而智能儿童手环除了可以定位儿童的位置以外,还能时刻监视儿童;智能插座等不但可以监视用户的日常生活轨迹,控制用户家庭设备,甚至还有可能成为僵尸网络的载体,发送微博等。
loT智能设备安全保护的5个建议
对此,极棒实验室的安全专家也在会上为用户提出了如下安全建议:
1、 用户应选择比较知名品牌的产品,大品牌可能意味着更加重视安全,对于安全相对投入较多。
2、 告别弱口令,用户应为自己的智能设备设置强密码,并定期更换。
3、 及时更新固件,更新不仅代表着功能升级,也意味着厂商修复了一些已知漏洞。
4、 漏洞的存在是十分正常的,用户不必过于恐慌,但是需要选择科学合理的使用方式。
5、 提升日常生活安全意识,避免将密码写在公开场合,随意连接wifi或在 社交 网络上过度发布个人信息等。
由知名信息安全团队碁震(KEEN)成立的极棒实验室(GeekPwn lab)致力于包括基础系统与协议、移动支付、物联网以及人工智能安全等新兴和未来技术应用领域的安全研究,并依托GeekPwn大赛等平台,帮助智能生态产品提升安全性。
据悉, GeekPwn(极棒)将于5月12日在香港登上 “云顶梦号”邮轮,举办全球首个海上极客赛事。届时,包括人工智能、IOT等的安全问题将再次成为备受瞩目的焦点。