【51CTO.com 快譯】根據(jù)Gartner公司的調(diào)查結(jié)果，目前全球消費級聯(lián)網(wǎng)設(shè)備總量已經(jīng)超過30億臺，而這一數(shù)字將在未來一年中增長到40億臺。

而這部分增量當(dāng)中有相當(dāng)一部分是受到了假日購物活動的帶動，根據(jù)消費電子協(xié)會于今年10月發(fā)布的報告指出，調(diào)查顯示約有65%的美國人表示在此期間有意購買消費級電子禮品。用于購買這些技術(shù)產(chǎn)品的整體支出將高達(dá)342億美元，CEA首席經(jīng)常學(xué)家兼高級研究員Shawn DuBravac稱這將是有史以來規(guī)模最大的技術(shù)產(chǎn)品采購季。

其中大部分禮品可能都屬于聯(lián)網(wǎng)設(shè)備，具體包括智能電視、平板設(shè)備、智能手機(jī)、上網(wǎng)本與筆記本產(chǎn)品乃至游戲主機(jī)等等。除此之外，還有約三分之一消費者計劃購買今年剛剛出現(xiàn)的新興技術(shù)產(chǎn)品，例如智能家居設(shè)備、可穿戴式設(shè)備、智能手表以及無人機(jī)等。

遺憾的是，大部分此類設(shè)備都會讓用戶的個人環(huán)境面臨更為嚴(yán)峻的安全威脅。

平板設(shè)備

與智能手機(jī)一樣，平板設(shè)備的安全性水平也主要取決于其操作系統(tǒng)類型。

盡管iOS設(shè)備也曾經(jīng)偶爾遭到入侵，不過根據(jù)一份由Pulse Secure公司發(fā)布的移動威脅安全報告指出，目前97%的惡意軟件都將目標(biāo)設(shè)定為Android平臺。

iOS生態(tài)系統(tǒng)提供一系列超越Android陣營的重要安全優(yōu)勢，其中包括對App Store內(nèi)上架應(yīng)用的嚴(yán)格控制，同時蘋果公司也有能力快速向全部用戶推送安全相關(guān)升級。相比之下，Android安全更新往往需要由各設(shè)備制造商自行提供，這就導(dǎo)致其更新節(jié)奏明顯更慢。

不過平板設(shè)備還面臨著一些額外的安全風(fēng)險。

“平板設(shè)備通常會被以等同于筆記本的方式加以使用，且通常包含大量與工作相關(guān)的敏感信息，”英特爾Security安全與隱私主管Bruce Snell指出。“不過與筆記本電腦不同，平板設(shè)備的安全保障工作往往不受關(guān)注，特別是在BYOD環(huán)境當(dāng)中。”

智能手機(jī)

根據(jù)Pew研究中心的調(diào)查，約有68%的美國成年公民擁有智能手機(jī)。而根據(jù)Internet Retailer的統(tǒng)計，今年年內(nèi)移動購物活動總額已經(jīng)占全部在線消費額度的30%。

超過一半的智能手機(jī)用戶使用網(wǎng)上銀行服務(wù)，而目前每月有超過14億用戶通過自己的移動設(shè)備登錄Facebook。

“新型智能手機(jī)與平板設(shè)備每年都會進(jìn)行數(shù)輪更新，而這些設(shè)備也成為饋贈親朋好友的絕佳禮品——最新型號的手機(jī)總能讓接受一方心花怒放，”Snell指出。

不過還有很多用戶尚未意識到，這些設(shè)備很可能成為潛在罪犯的入侵通道。

在順利竊取或者以遠(yuǎn)程方式侵入一臺智能手機(jī)之后，惡意人士能夠獲得的絕不僅僅是社交媒體賬戶、電子商務(wù)以及網(wǎng)上銀行登錄憑證，他們同時也能夠窺探到受害者的電子郵件、個人照片與視頻、工作與個人聯(lián)系人、家庭及辦公環(huán)境登錄憑證以及保存在設(shè)備中的位置數(shù)據(jù)。

另外，攻擊者可能還會以遠(yuǎn)程方式激活智能手機(jī)的麥克風(fēng)，從而竊聽企業(yè)會議或者追蹤設(shè)備持有者的當(dāng)前位置。

根據(jù)Snell的說法，當(dāng)前對智能手機(jī)安全性影響最大的因素之一正是操作系統(tǒng)——平板設(shè)備也是如此。

“這也正是iOS與Android之間最大的差異所在，”他表示。

用戶行為同樣是一大需要關(guān)注的重要因素，調(diào)查結(jié)果顯示。

根據(jù)卡巴斯基實驗室與B2b國際今年發(fā)布的一份研究結(jié)果，目前有30%的Android手機(jī)持有者并沒有利用密碼對自身設(shè)備加以保護(hù)，而44%的Android手機(jī)持有者并沒有安裝過任何反惡意軟件解決方案。

而最近逐漸增多的藍(lán)牙周邊設(shè)備則給智能手機(jī)帶來更多可資利用的安全漏洞，Snell解釋稱。

“一部分設(shè)備會使用默認(rèn)密碼進(jìn)行藍(lán)牙裝置驗證，例如0000或者1234，這就使得網(wǎng)絡(luò)犯罪分子能夠輕松與我們的設(shè)備進(jìn)行匹配，”他表示。

而事情遠(yuǎn)不止如此簡單，他進(jìn)一步補充稱。

“藍(lán)牙連接機(jī)制的最大問題在于其只會進(jìn)行一次驗證，”他指出。“在進(jìn)行過一次匹配之后，對應(yīng)的藍(lán)牙裝置就會處于受信狀態(tài)，這意味著惡意人士完全可以借此進(jìn)行中間人或者身份偽造攻擊活動，從而對主體設(shè)備及其網(wǎng)絡(luò)連接加以滲透。”

無人機(jī)

目前無人機(jī)市場仍然處于起步階段，但隨著此類設(shè)備變得越來越受歡迎，它們也將更多地被黑客們作為攻擊目標(biāo)，英特爾Security公司的Snell解釋稱。攻擊者能夠利用安全漏洞竊取無人機(jī)本身，或者利用其交付盜竊到的其它贓物。

“以遠(yuǎn)程方式入侵無人機(jī)與Wi-Fi間連接的作法真實存在，”Snell表示。

舉例來說，在今年夏季召開的Def Con安全大會上，一位來自安全企業(yè)Planet Zuda公司的研究人員就演示了如何劫持Parrot無人機(jī)——一款高人氣無人機(jī)產(chǎn)品。

內(nèi)置攝像頭的設(shè)備

今年已經(jīng)出現(xiàn)了一系列針對嬰兒監(jiān)控裝置、保育以及其它類似設(shè)備的黑客活動。如今任何一款內(nèi)置攝像頭的聯(lián)網(wǎng)設(shè)備都存在潛在安全漏洞，英特爾Security公司的Snell指出。

“甚至有一些匿名網(wǎng)站開始利用未受保護(hù)的攝像頭播放隱私視頻，”他補充稱。

舉例來說，今年秋初安全企業(yè)Rapid7公司就對來自六家制造商的熱門嬰兒監(jiān)控裝置進(jìn)行了審查，并發(fā)現(xiàn)它們?nèi)看嬖谥鴩?yán)重的安全問題，具體包括未對通信或者存儲數(shù)據(jù)進(jìn)行加密，而這些還僅僅是嚴(yán)峻形勢的冰山一角。

攻擊者可以利用這些設(shè)備獲取個人隱私、竊取錄制好的視頻、追蹤人們在家中的動向，或者利用該設(shè)備接入本地網(wǎng)絡(luò)。

“這是一種非常嚴(yán)重的安全壓力，如果被攻擊者有針對性地加以利用，本文中討論的其它大部分安全漏洞以及信息外泄途徑與之相比根本不算什么，”研究人員們在報告中指出。

這份報告已經(jīng)得到了媒體的普遍關(guān)注，而且大部分相關(guān)設(shè)備廠商也參與到了問題的解決工作當(dāng)中。

“這份報告當(dāng)中提到的問題已經(jīng)被嬰兒監(jiān)控裝置廠商Summer Infant在48小時內(nèi)解決，”Summer Infant公司的一位發(fā)言人表示。

TRENDnet則發(fā)現(xiàn)，攻擊者們并不只單純對攝像頭進(jìn)行物理接入，因為利用此類漏洞要求其重寫其中的電路板;除此之外，他們還會向用戶購買產(chǎn)品時使用的郵箱發(fā)出漏洞修復(fù)補丁、固件升級以及其它消息，或者通過用戶登錄的網(wǎng)站查看其視頻內(nèi)容。

飛利浦公司的In.Sight無線高清嬰兒監(jiān)控產(chǎn)品也受到了影響，而且這款產(chǎn)品目前已經(jīng)由Gibson Innovations公司接手并繼續(xù)以飛利浦品牌進(jìn)行制造及銷售。這兩家公司曾于今年九月共同協(xié)作以修復(fù)Rapid7方面披露出的安全隱患。另外，兩家公司還對受影響的云服務(wù)以及固件進(jìn)行了更新，并對Android與iOS兩套平臺上的對應(yīng)應(yīng)用做出了升級。

iBaby Labs副總裁Elnaz Sarraf指出，他所在的公司已經(jīng)采取了一系列舉措來解決Rapid7方面曝出的安全問題，其中包括不同監(jiān)控裝置之間的通信安全保護(hù)、相關(guān)應(yīng)用程序以及云服務(wù)等等。

根據(jù)Gynoii公司的一位發(fā)言人所言，該公司已經(jīng)對產(chǎn)品的固件進(jìn)行了升級，而且現(xiàn)有客戶將能夠在未來一周內(nèi)下載到新的固件版本。

而截至目前，Rapid7公司提到的Lens Laboratories還沒有對我們的請求做出任何回應(yīng)。

兒童玩具

根據(jù)Snell的說法，各類能夠接入互聯(lián)網(wǎng)的兒童玩意也可能成為犯罪分子得以窺探兒童本身乃至其家庭的通道。舉例來說，很多孩子都會使用其父母的電子郵箱及設(shè)備訪問對應(yīng)應(yīng)用以控制其小玩具。

“如果孩子的移動應(yīng)用受到感染，那么黑客就能夠直接訪問到其父母的數(shù)據(jù)，”Snell指出。“這有可能導(dǎo)致惡意軟件被安裝至父母的設(shè)備中并以此為基礎(chǔ)進(jìn)行擴(kuò)散。”

此類玩具之一正是由Sphero出品的星戰(zhàn)系列BB-8機(jī)器人，其能夠通過智能手機(jī)上的應(yīng)用實現(xiàn)遠(yuǎn)程控制。

“其中的薄弱環(huán)節(jié)并不僅僅在于手機(jī)與BB-8之間的通信協(xié)議，事實上該玩具的固件也存在著被修改的風(fēng)險，”物聯(lián)網(wǎng)安全企業(yè)Bastille Networks公司創(chuàng)始人兼CTO Chris Rouland指出。

目前正當(dāng)紅的另一款此類玩具則是由美泰公司生產(chǎn)的Hello芭比，他強調(diào)稱。

“根據(jù)這款娃娃的產(chǎn)品說明，其能夠通過互聯(lián)網(wǎng)連接與ToyTalk云相關(guān)聯(lián)，從而使用其中保存的數(shù)千條由用戶錄制好的語音，”他表示。“當(dāng)然，根據(jù)供應(yīng)商的管理政策規(guī)定，其會對相關(guān)對話錄音加以嚴(yán)格保護(hù)。”

智能手表

今年早些時候，惠普公司對十款最具人氣的智能手表產(chǎn)品進(jìn)行了測試，并發(fā)現(xiàn)它們?nèi)看嬖谥鴩?yán)重安全問題。舉例來說，其中半數(shù)壓根不提供任何密碼驗證或者其它鎖定驗證機(jī)制，因此任何人在撿到這款手表后都能立即加以使用。

其中很多產(chǎn)品還存在著安全升級、驗證以及數(shù)據(jù)加密功能缺失等問題。與這些設(shè)備相關(guān)聯(lián)的應(yīng)用本身往往也存在隱患，這可能導(dǎo)致個人隱私遭到外泄。另外，如果黑客能夠接入到智能手表當(dāng)中，那么他們也有可能訪問到用戶的移動設(shè)備或者其接入的網(wǎng)絡(luò)環(huán)境。

除此之外，根據(jù)惠普公司安全研究負(fù)責(zé)人Daniel Miessler的說法，智能手表市場目前還處于新興階段，因此消費者們很難了解具體設(shè)備需要在哪些方面進(jìn)行安全關(guān)注。

舉例來說，惠普公司自身就沒有公布此次測試的具體手表型號。

健身追蹤器

根據(jù)英特爾Security公司的Snell所言，黑客在侵入健身追蹤設(shè)備或者其關(guān)聯(lián)網(wǎng)站后將有可能訪問到大量隱私信息。

不過除此之外，黑客們也可以利用該設(shè)備接入到與之匹配的智能手機(jī)、平板設(shè)備、計算機(jī)或者家庭網(wǎng)絡(luò)等等，英特爾Security公司的Snell解釋稱。

“這是一款網(wǎng)關(guān)設(shè)備，”他表示。

再有，事實上今年十月已經(jīng)有一位來自安全企業(yè)Fortinet公司的安全研究人員演示了如何通過藍(lán)牙連接對高人氣Fitbit健身追蹤裝置進(jìn)行攻擊。

不過Fitbit公司安全主管Sash Biskup則表示，盡管攻擊者確實能夠向Fitbit發(fā)送數(shù)據(jù)并查看其中的回顯信息，但該產(chǎn)品并不存在安全漏洞，即其不可能將該數(shù)據(jù)發(fā)送至聯(lián)網(wǎng)計算機(jī)或者利用其軟件bug進(jìn)行惡意軟件傳播。

“這項軟件bug不會造成任何安全漏洞，”他解釋道。“我們的客戶端不會利用該數(shù)據(jù)進(jìn)行任何操作。我們花了大量時間對此進(jìn)行觀察。”

不過Fortinet公司對于Fitbit方面的說法并不認(rèn)同，在其看來后者的產(chǎn)品確實存在安全漏洞，允許攻擊者“向Fitbit設(shè)備發(fā)送二進(jìn)制代碼，并通過藍(lán)牙連接將其進(jìn)一步發(fā)送至與該設(shè)備匹配的計算機(jī)當(dāng)中。”

“我們支持這項聲明，”Fortinet公司全球企業(yè)通信副總裁Sandra Wheatley Smerdon指出。“我不知道Fitbit方面是否已經(jīng)修復(fù)了這項安全漏洞，我們還沒有對研究結(jié)果進(jìn)行后續(xù)追蹤。”

原文鏈接：http://www.networkworld.com/article/3009265/mobile-security/most-hackable-devices.html#slide8

原文標(biāo)題：Most hackable devices

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】