新思科技：物联网功能丰富，安全性仍然欠缺

有没有想过黑客正在通过你使用的智能家居产品收集、传递甚至分析你的隐私？他们可以只用一部电脑就知道你房间内插座、灯或者其它设备的状态，甚至可以发出指令操控这些设备。“安全”已经成了物联网行业发展的必修课。

如何防止物联网黑客攻击？在软件发布之前就要确保其安全。新思科技认为这并不难。但为什么并没有许多物联网设备制造商会这么做呢？

首先，我们参考一下近期发生的几起物联网（IoT）安全事件：

谷歌旗下智能家居公司Nest的摄像头遭黑客攻击

美国国家广播公司新闻报道称，智能家居技术的“狂热”用户向电视台爆料，他听到婴儿室有一些噪音，检查后发现安装在里面的Nest安全摄像头发出了“深沉的男声”。网络入侵者还控制了房间内的恒温器，将温度设定为90华氏度。

智能手表可成为黑客攻击的目标

挪威消费者委员会曾经分析了四款儿童可穿戴式手机/智能手表。这些设备是为了方便让父母与孩子交流并定位他们的位置。

经过分析，消费者委员会报告了这些产品的“关键缺陷”，这可能让黑客“控制应用程序，从而获得孩童的实时和历史位置以及个人信息”。黑客甚至可以“在父母不知情的情况下直接联系孩子”。

蓝牙设备也可能被入侵

来自巴西伯南布哥联邦大学和美国密歇根大学的研究人员研究了32款智能手机应用程序。亚马逊平台上销售的96款畅销的Wi-Fi和支持蓝牙的设备都有安装这些应用程序。

他们发现“31%的应用程序不使用任何加密以保护设备应用程序通信；19%的应用程序使用硬编码密钥。很大一部分应用程序（40-60%）使用本地通信或本地广播通信，因此提供了利用加密或使用硬编码加密密钥的攻击路径。“

增长过快对IoT本身发展有好处吗？

物联网应用已经开始渗入我们的生活，并正在呈爆炸性增长。但是物联网行业仍然存在一个严重的问题：制造商倾向于在违规之后，或者安全研究人员发现漏洞后才去进行修复。他们不会在发布之前就为产品构建强大的安全性以防患于未然。

同时，新思科技首席顾问Larry Trowell认为指出： “随着越来越多的专业人士加入物联网行业，进行安全测试的设备的比率正在上升。而且安全测试工具也越来越精细。”

呼吁政府监管物联网

尽管如此，物联网安全事件现在仍然层出不穷。一些专家呼吁政府对物联网安全进行监管。

Larry Trowell指出政府监管的主要问题是技术发展速度比立法要快。他说：“物联网的每个元素都会产生新的技术，而且在大多数情况下，这些技术还不够安全。”

开源管理有待加强

新思科技软件质量与安全部门高级安全架构师杨国梁指出：“设计缺陷、安全漏洞和弱密码等是造成物联网威胁的主要因素。同时，物联网行业也需要重视开源代码的安全使用。”

物联网需要无数的软件来支撑。但是开发人员往往更关注他们创建的软件代码，而忽略了使用的开源代码，导致黑客有机可乘。例如，不久前，黑客窃取了分析服务Picreel和开源项目Alpaca Forms的数据，并修改了它们的JavaScript文件，进而在超过4600个网站上嵌入恶意代码。

根据新思科技发布的《2019年开源安全和风险分析》（OSSRA）报告，2018年物联网行业被审计代码库中使用了开源代码的占比为91%，而存在许可证冲突的被审代码库的百分比为72%。

杨国梁强调：“当然，我们不是说企业应该停止使用开源，而是应该积极主动地去进行开源管理，从一开始就将安全内置在物联网中。”

如何防止IoT黑客攻击

那怎么能正确地执行IoT安全方案？

Larry Trowell归结为：重视。

他补充说：“人们重视驾驶安全，配置了安全带、车架、安全气囊，提升汽车的安全性。大家注意到这些问题，意识到重要性，所以会要求有所改变。往往这些改变先发生在顶级车型中，然后才强制配置到普通车辆。”

他说：“安全专业人员要解释为什么这些事情很重要，以及如何解决这些问题。如果我们只做这两项任务中的一项，那么也不会取得效果。”