物联网:功能丰富,安全性仍然欠缺

Synopsys Editorial Staff

Jul 11, 2019 / 1 min read

如何防止物联网黑客攻击?

在软件发布之前就要确保其安全。

这并不难。

但为什么并没有许多物联网设备制造商会这么做呢?

首先,我们参考一下近期发生的几起物联网(IoT)安全事件:

  • 谷歌旗下智能家居公司Nest的摄像头遭黑客攻击

美国国家广播公司新闻报道称,智能家居技术的“狂热”用户向电视台爆料,他听到婴儿室有一些噪音,检查后发现安装在里面的Nest安全摄像头发出了“深沉的男声”。网络入侵者还控制了房间内的恒温器,将温度设定为90华氏度。

  • 智能手表可成为黑客攻击的目标

挪威消费者委员会曾经分析了四款儿童可穿戴式手机/智能手表。这些设备是为了方便让父母与孩子交流并定位他们的位置。经过分析,消费者委员会报告了这些产品的“关键缺陷”,这可能让黑客“控制应用程序,从而获得孩童的实时和历史位置以及个人信息”。黑客甚至可以“在父母不知情的情况下直接联系孩子”。

  • 蓝牙设备也可能被入侵

来自巴西伯南布哥联邦大学和美国密歇根大学的研究人员研究了32款智能手机应用程序。亚马逊平台上销售的96款畅销的Wi-Fi和支持蓝牙的设备都有安装这些应用程序。他们发现,31%的应用程序不使用任何加密以保护设备应用程序通信;19%的应用程序使用硬编码密钥。很大一部分应用程序(40-60%)使用本地通信或本地广播通信,因此提供了利用加密或使用硬编码加密密钥的攻击路径。

移动威胁

增长过快对IoT本身发展有好处吗?

物联网应用已经开始渗入我们的生活,并正在呈爆炸性增长。但是物联网行业仍然存在一个严重的问题:制造商倾向于在违规之后,或者安全研究人员发现漏洞后才去进行修复。他们不会在发布之前就为产品构建强大的安全性以防患于未然。

同时,新思科技首席顾问Larry Trowell认为指出: “随着越来越多的专业人士加入物联网行业,进行安全测试的设备的比率正在上升。而且安全测试工具也越来越精细。”

呼吁政府监管物联网

尽管如此,物联网安全事件现在仍然层出不穷。一些专家呼吁政府对物联网安全进行监管。Larry Trowell指出政府监管的主要问题是技术发展速度比立法要快。他说:“物联网的每个元素都会产生新的技术,而且在大多数情况下,这些技术还不够安全。”

开源管理有待加强

新思科技软件质量与安全部门高级安全架构师杨国梁指出:“设计缺陷、安全漏洞和弱密码等是造成物联网威胁的主要因素。同时,物联网行业也需要重视开源代码的安全使用。”

物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码,而忽略了使用的开源代码,导致黑客有机可乘。例如,不久前,黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据,并修改了它们的JavaScript文件,进而在超过4,600个网站上嵌入恶意代码。

根据新思科技发布的《2019年开源安全和风险分析》(OSSRA)报告,2018年物联网行业被审计代码库中使用了开源代码的占比为91%,而存在许可证冲突的被审代码库的百分比为72%。

杨国梁强调:“当然,我们不是说企业应该停止使用开源,而是应该积极主动地去进行开源管理,从一开始就将安全内置在物联网中。”

如何防止IoT黑客攻击

那怎么能正确地执行IoT安全方案?

Larry Trowell归结为:重视。

他补充说:“人们重视驾驶安全,配置了安全带、车架、安全气囊,提升汽车的安全性。大家注意到这些问题,意识到重要性,所以会要求有所改变。往往这些改变

先发生在顶级车型中,然后才强制配置到普通车辆。”

他说:“安全专业人员要解释为什么这些事情很重要,以及如何解决这些问题。如果我们只做这两项任务中的一项,那么也不会取得效果。”

Continue Reading