您的位置:首页>科技 >内容

物联网设备存在严重的安全问题

2019-03-10 16:10:26来源:
导读您的家庭充满了互联网感知设备,其中大多数都是不安全的,以至于黑客可以通过您的婴儿摄像头进入整个网络。物联网?我不会使用那些东西。这

您的家庭充满了互联网感知设备,其中大多数都是不安全的,以至于黑客可以通过您的婴儿摄像头进入整个网络。

“物联网?我不会使用那些东西。这不适合我。”

Bitdefender首席安全研究员Alex“Jay”Balan不同意见。“物联网不是可选的,”他在RSA上说。“这不是用户的选择。一切都变得聪明。”

RSA错误艺术他指出,每台网络打印机都是物联网设备。“人们相信打印机是安全的,因为它是一个物理盒子。我可以取出纸张,没有人可以打印。但实际上,网络上的任何人都可以访问打印机,而且大多数人都有一个没有密码的管理控制台。”

访问打印机打印的每个文档甚至不需要利用,因为功能只是存在且可用。

看看物联网设备的弱点,Balan指出,大多数运行BusyBox用于他们的操作系统。这是一个适用于3MB的精简版Linux。代码本身通常被编写为Web服务。但是,编码人员并没有像在网上提供服务时那样考虑安全性。“在物联网上,代码很糟糕,”巴兰说。“写得不好。”

现代操作系统通过使用ASLR(地址空间布局随机化)来抵御大量可能的攻击。使用它就像在编译代码时选中一个框一样简单,但IoT编码器会跳过这个有用的预防措施,因为它会降低性能。

如此多的漏洞

对于他在RSA的演讲,Balan计划深入研究简单IP摄像机的漏洞。然而,这个领域非常丰富,他开始挖掘四个设备 - 来自Tenvis,Geenker,Keekoon和Reolink的摄像机。在每种情况下,Balan和他的团队都发现了多个重要的安全漏洞。

例如,他们发现他们可以通过重载密码字段或在另一个字段中使用特殊字符在某些设备上执行任意代码。通常这会让他们打开一个远程shell,这意味着他们可以完全控制设备的操作系统。一些设备硬编码管理所需的用户名和密码。简而言之,他们发现了可以驾驶卡车通过的安全漏洞。

与大多数负责任的研究小组一样,Bitdefender有90天的披露政策。也就是说,他们会向公司通知其产品中发现的缺陷,并在上市前给公司90天的时间来解决问题。他们为Balan的演讲中提到的四个产品这样做了。所有四家公司都忽略了它们。

Balan描述了一个案例,其中一家安全的硬件公司抱怨他们已经通过了安全审计,因此Bitdefender的研究表明安全漏洞肯定是错误的。

“有人把它们撕掉了,”巴兰说。对于物联网设备,渗透测试必须包括的不仅仅是使用已知漏洞攻击设备。

“已知的漏洞在这里没有帮助,”他继续道。“它们太多了。只有10%到15%的物联网漏洞甚至可以登记。你必须深入了解设备并手动进行测试。”

那你怎么知道你的网络摄像头,烤面包机或车库门是否安全?一种方法是让像Balan这样的团队进行测试。但这不是唯一的方法。“寻找一个bug赏金计划,”Balan解释说。“如果你发现了一个bug赏金计划,并且该公司有一个自动更新系统,那你就非常安全了。”

免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章