■墨菲

哪些設(shè)備最易受到攻擊

■墨菲

根據(jù)Gartner公司的調(diào)查結(jié)果，目前全球消費(fèi)級聯(lián)網(wǎng)設(shè)備總量已經(jīng)超過30億臺，而這一數(shù)字將在未來一年中增長到40億臺。在這部分增量當(dāng)中有相當(dāng)一部分是受到了假日購物活動的帶動，根據(jù)消費(fèi)電子協(xié)會于今年10月發(fā)布的報(bào)告指出，調(diào)查顯示約有65%的美國人表示在此期間有意購買消費(fèi)級電子禮品。用于購買這些技術(shù)產(chǎn)品的整體支出將高達(dá)342億美元，CEA首席經(jīng)常學(xué)家兼高級研究員Shawn DuBravac稱這將是有史以來規(guī)模最大的技術(shù)產(chǎn)品采購季。

這其中大部分禮品可能都屬于聯(lián)網(wǎng)設(shè)備，具體包括智能電視、平板設(shè)備、智能手機(jī)、上網(wǎng)本與筆記本產(chǎn)品乃至游戲主機(jī)等等。除此之外，還有約三分之一消費(fèi)者計(jì)劃購買今年剛剛出現(xiàn)的新興技術(shù)產(chǎn)品，例如智能家居設(shè)備、可穿戴式設(shè)備、智能手表以及無人機(jī)等。

遺憾的是，大部分此類設(shè)備都會讓用戶的個(gè)人環(huán)境面臨更為嚴(yán)峻的安全威脅。

與智能手機(jī)一樣，平板設(shè)備的安全性水平也主要取決于其操作系統(tǒng)類型。盡管iOS設(shè)備也曾經(jīng)偶爾遭到入侵，不過根據(jù)一份由Pulse Secure公司發(fā)布的移動威脅安全報(bào)告指出，目前97%的惡意軟件都將目標(biāo)設(shè)定為Android平臺。

iOS生態(tài)系統(tǒng)提供一系列超越Android陣營的重要安全優(yōu)勢，其中包括對App Store內(nèi)上架應(yīng)用的嚴(yán)格控制，同時(shí)蘋果公司也有能力快速向全部用戶推送安全相關(guān)升級。相比之下，Android安全更新往往需要由各設(shè)備制造商自行提供，這就導(dǎo)致其更新節(jié)奏明顯更慢。

不過平板設(shè)備還面臨著一些額外的安全風(fēng)險(xiǎn)?！捌桨逶O(shè)備通常會被以等同于筆記本的方式加以使用，且通常包含大量與工作相關(guān)的敏感信息，”英特爾Security安全與隱私主管Bruce Snell指出?！芭c筆記本電腦不同，平板設(shè)備的安全保障工作往往不受關(guān)注，特別是在BYOD環(huán)境當(dāng)中。”

根據(jù)Pew研究中心的調(diào)查，約有68%的美國成年公民擁有智能手機(jī)。而根據(jù)Internet Retailer的統(tǒng)計(jì)，今年年內(nèi)移動購物活動總額已經(jīng)占全部在線消費(fèi)額度的30%。超過一半的智能手機(jī)用戶使用網(wǎng)上銀行服務(wù)，而目前每月有超過14億用戶通過自己的移動設(shè)備登錄Facebook?！靶滦椭悄苁謾C(jī)與平板設(shè)備每年都會進(jìn)行數(shù)輪更新，而這些設(shè)備也成為饋贈親朋好友的絕佳禮品——最新型號的手機(jī)總能讓接受一方心花怒放，”Snell指出。不過還有很多用戶尚未意識到，這些設(shè)備很可能成為潛在罪犯的入侵通道。

在順利竊取或者以遠(yuǎn)程方式侵入一臺智能手機(jī)之后，惡意人士能夠獲得的絕不僅僅是社交媒體賬戶、電子商務(wù)以及網(wǎng)上銀行登錄憑證，他們同時(shí)也能夠窺探到受害者的電子郵件、個(gè)人照片與視頻、工作與個(gè)人聯(lián)系人、家庭及辦公環(huán)境登錄憑證以及保存在設(shè)備中的位置數(shù)據(jù)。

另外，攻擊者可能還會以遠(yuǎn)程方式激活智能手機(jī)的麥克風(fēng)，從而竊聽企業(yè)會議或者追蹤設(shè)備持有者的當(dāng)前位置。根據(jù)Snell的說法，當(dāng)前對智能手機(jī)安全性影響最大的因素之一正是操作系統(tǒng)——平板設(shè)備也是如此?！斑@也正是iOS與Android之間最大的差異所在，”他表示。

調(diào)查結(jié)果顯示，用戶行為同樣是需要關(guān)注的重要因素。根據(jù)卡巴斯基實(shí)驗(yàn)室與B2b國際今年發(fā)布的一份研究結(jié)果，目前有30%的Android手機(jī)持有者并沒有利用密碼對自身設(shè)備加以保護(hù)，而44%的Android手機(jī)持有者并沒有安裝過任何反惡意軟件解決方案。

而最近逐漸增多的藍(lán)牙周邊設(shè)備則給智能手機(jī)帶來更多可資利用的安全漏洞，Snell解釋稱?！耙徊糠衷O(shè)備會使用默認(rèn)密碼進(jìn)行藍(lán)牙裝置驗(yàn)證，例如0000或者1234，這就使得網(wǎng)絡(luò)犯罪分子能夠輕松與我們的設(shè)備進(jìn)行匹配?！倍虑檫h(yuǎn)不止如此簡單，他進(jìn)一步補(bǔ)充稱?！八{(lán)牙連接機(jī)制的最大問題在于其只會進(jìn)行一次驗(yàn)證，”他指出?！霸谶M(jìn)行過一次匹配之后，對應(yīng)的藍(lán)牙裝置就會處于受信狀態(tài)，這意味著惡意人士完全可以借此進(jìn)行中間人或者身份偽造攻擊活動，而對主體設(shè)備及其網(wǎng)絡(luò)連接加以滲透。”

目前無人機(jī)市場仍然處于起步階段，但隨著此類設(shè)備變得越來越受歡迎，它們也將更多地被黑客們作為攻擊目標(biāo)。攻擊者能夠利用安全漏洞竊取無人機(jī)本身，或者利用其交付盜竊到的其它贓物?！耙赃h(yuǎn)程方式入侵無人機(jī)與Wi-Fi間連接的作法真實(shí)存在。”Snell表示。

今年已經(jīng)出現(xiàn)了一系列針對嬰兒監(jiān)控裝置、保育以及其它類似設(shè)備的黑客活動。如今任何一款內(nèi)置攝像頭的聯(lián)網(wǎng)設(shè)備都存在潛在安全漏洞?！吧踔劣幸恍┠涿W(wǎng)站開始利用未受保護(hù)的攝像頭播放隱私視頻?！彼a(bǔ)充稱。

攻擊者可以利用這些設(shè)備獲取個(gè)人隱私、竊取錄制好的視頻、追蹤人們在家中的動向，或者接入本地網(wǎng)絡(luò)?！斑@是一種非常嚴(yán)重的安全壓力，如果被攻擊者有針對性地加以利用，本文中討論的其它大部分安全漏洞以及信息外泄途徑與之相比根本不算什么，”研究人員們在報(bào)告中指出。這份報(bào)告已經(jīng)得到了媒體的普遍關(guān)注，而且大部分相關(guān)設(shè)備廠商也參與到了問題的解決工作當(dāng)中。

根據(jù)Snell的說法，各類能夠接入互聯(lián)網(wǎng)的兒童玩意也可能成為犯罪分子得以窺探兒童本身乃至其家庭的通道。舉例來說，很多孩子都會使用其父母的電子郵箱及設(shè)備訪問對應(yīng)應(yīng)用以控制其小玩具?！叭绻⒆拥囊苿討?yīng)用受到感染，那么黑客就能夠直接訪問到其父母的數(shù)據(jù)，”Snell指出。“這有可能導(dǎo)致惡意軟件被安裝至父母的設(shè)備中并以此為基礎(chǔ)進(jìn)行擴(kuò)散?！?/p>

此類玩具之一正是由Sphero出品的星戰(zhàn)系列BB-8機(jī)器人，其能夠通過智能手機(jī)上的應(yīng)用實(shí)現(xiàn)遠(yuǎn)程控制?！捌渲械谋∪醐h(huán)節(jié)并不僅僅在于手機(jī)與BB-8之間的通信協(xié)議，事實(shí)上該玩具的固件也存在著被修改的風(fēng)險(xiǎn)，”物聯(lián)網(wǎng)安全企業(yè)Bastille Networks公司創(chuàng)始人兼CTO Chris Rouland指出。

目前正當(dāng)紅的另一款此類玩具則是由美泰公司生產(chǎn)的Hello芭比，他強(qiáng)調(diào)稱?！案鶕?jù)這款娃娃的產(chǎn)品說明，其能夠通過互聯(lián)網(wǎng)連接與ToyTalk云相關(guān)聯(lián)，從而使用其中保存的數(shù)千條由用戶錄制好的語音，”他表示?！爱?dāng)然，根據(jù)供應(yīng)商的管理政策規(guī)定，其會對相關(guān)對話錄音加以嚴(yán)格保護(hù)?！?/p>

今年早些時(shí)候，惠普公司對十款最具人氣的智能手表產(chǎn)品進(jìn)行了測試，并發(fā)現(xiàn)它們?nèi)看嬖谥鴩?yán)重安全問題。舉例來說，其中半數(shù)壓根不提供任何密碼驗(yàn)證或者其它鎖定驗(yàn)證機(jī)制，因此任何人在撿到這款手表后都能立即加以使用。

其中很多產(chǎn)品還存在著安全升級、驗(yàn)證以及數(shù)據(jù)加密功能缺失等問題。與這些設(shè)備相關(guān)聯(lián)的應(yīng)用本身往往也存在隱患，這可能導(dǎo)致個(gè)人隱私遭到外泄。另外，如果黑客能夠接入到智能手表當(dāng)中，那么他們也有可能訪問到用戶的移動設(shè)備或者其接入的網(wǎng)絡(luò)環(huán)境。

除此之外，根據(jù)惠普公司安全研究負(fù)責(zé)人Daniel Miessler的說法，智能手表市場目前還處于新興階段，因此消費(fèi)者們很難了解具體設(shè)備需要在哪些方面進(jìn)行安全關(guān)注。

根據(jù)英特爾Security公司的Snell所言，黑客在侵入健身追蹤設(shè)備或者其關(guān)聯(lián)網(wǎng)站后將有可能訪問到大量隱私信息。除此之外，黑客們也可以利用該設(shè)備接入到與之匹配的智能手機(jī)、平板設(shè)備、計(jì)算機(jī)或者家庭網(wǎng)絡(luò)等等，英特爾Security公司的Snell解釋稱：“這是一款網(wǎng)關(guān)設(shè)備?！?/p>

再有，事實(shí)上今年十月已經(jīng)有一位來自安全企業(yè)Fortinet公司的安全研究人員演示了如何通過藍(lán)牙連接對高人氣Fitbit健身追蹤裝置進(jìn)行攻擊。

不過Fitbit公司安全主管Sash Biskup則表示，盡管攻擊者確實(shí)能夠向Fitbit發(fā)送數(shù)據(jù)并查看其中的回顯信息，但該產(chǎn)品并不存在安全漏洞，即其不可能將該數(shù)據(jù)發(fā)送至聯(lián)網(wǎng)計(jì)算機(jī)或者利用其軟件bug進(jìn)行惡意軟件傳播?！斑@項(xiàng)軟件bug不會造成任何安全漏洞，”他解釋道。“我們的客戶端不會利用該數(shù)據(jù)進(jìn)行任何操作。我們花了大量時(shí)間對此進(jìn)行觀察。”

不過Fortinet公司對于Fitbit方面的說法并不認(rèn)同，在其看來后者的產(chǎn)品確實(shí)存在安全漏洞，允許攻擊者“向Fitbit設(shè)備發(fā)送二進(jìn)制代碼，并通過藍(lán)牙連接將其進(jìn)一步發(fā)送至與該設(shè)備匹配的計(jì)算機(jī)當(dāng)中。”“我們支持這項(xiàng)聲明，”Fortinet公司全球企業(yè)通信副總裁Sandra Wheatley Smerdon指出?！拔也恢繤itbit方面是否已經(jīng)修復(fù)了這項(xiàng)安全漏洞，我們還沒有對研究結(jié)果進(jìn)行后續(xù)追蹤。”