一些常见漏洞可轻易导致IoT设备丧失控制权,摄像头成为“最不安全设备”

智能摄像机、电视盒子、智能打印机……如今我们身边充斥着许多智能设备，但这些设备大多存在安全隐患。360安全大脑对50余个品牌近200种不同机型产品进行抽样检测与分析，发布了《典型IoT设备网络安全分析报告》，报告显示，一些常见漏洞可轻易导致IoT设备丧失控制权，任人摆布，其中摄像头成为“最不安全设备”。

摄像头最不安全

智能摄像机就像眼睛，这个眼睛已经应用于家庭、公共服务等多领域，其漏洞一旦被利用，这个眼睛过去记录的影像会被窃取，还可以被用来观察隐私和公共环境，可能引发重大安全风险。

报告显示，在智能摄像机存在的漏洞中，远程弱口令漏洞占比最高，为91.7%。“远程服务”是智能网联设备的“标配”，例如远程查看摄像头画面，要使用“远程服务”就需要合法的账号登录设备，系统往往预设了远程弱口令，如果用户不修改，则极易被黑客破解，继而丧失设备控制权限。

报告显示，五分之一的摄像头存在漏洞，包括远程弱口令漏洞、预置后门漏洞和敏感信息泄露漏洞等。

打印机电视盒子或带来机密泄露

在企业的日常工作场景中，远程传输文件进行打印是再熟悉不过的行为。如果打印机管理员疏于修改打印机出厂设置的远程服务弱口令，可能引发商业机密的泄露，带来不可估量的损失。

在电视盒子暴露的漏洞中，敏感信息泄露漏洞占比高达92.7%，远超其他类型漏洞。该漏洞主要由敏感数据存储未加密、采用明文传输等原因导致。利用这些漏洞，攻击者能远程查看用户电视设备播放的节目列表、历史记录，甚至造成用户的视频网站账号密码泄露。

另外，路由器和智能音箱在家庭智能设备中的地位在日渐增强，作为入口和中控，他们的安全性将涉及家中的更多设备。

在传统的网络家庭环境中，路由器的作用仅仅是一个网络接入设备，其在安全中的重要性远不如终端设备本身。但在IoT时代，会有越来越多的不同类型，不同功能的设备接入网络，而这些设备与网络相连的入口都是路由器。

同时，智能音箱作为家用智能硬件的“中控台”，地位也尤为重要。一旦“入口”和“中控”被击破，将祸及家庭或公共场景内所有的智能设备。而智能摄像机由于使用场景多、用户基数大，不但涉及用户信息，还涉及声音、画面等用户隐私，也是未来安全预警的重要方面。

360安全大脑建议，产品上市前首先应与专业安全厂商、安全机构合作，进行充分的安全检测，并且建立和健全产品更新机制，产品投入市场后定期更新维护产品，提供完备的用户服务。

弱密码和使用默认密码是重要安全隐患

报告显示，用户的不安全使用行为包含不修改默认密码、设置弱密码、不升级打补丁、安装过多插件等。

密码方面，用户使用弱密码或使用默认密码，是重要的安全隐患之一。360安全大脑通过对用户的调研显示，61.7%的用户会修改密码并设置高防护密码，而30.5%的用户会使用弱密码，还有6.8%的用户根本不去修改密码。

常见的默认密码为admin、password、12345678等，常见的弱密码如姓名、生日、手机号码等，较容易被破解。360安全大脑提醒广大用户及时修改密码，设置复杂密码。

定期升级系统或给漏洞打补丁，是确保IoT设备安全性的重要举措。360安全大脑对用户的调研显示，大部分用户会及时升级、打补丁，分别占比49.3%和63.0%；0.9%的用户不去修补漏洞，7.5%的用户不去升级网络端口；其余则是大部分会、偶尔会。也就是说，用户的安全意识仍然不够高。360安全大脑提醒用户，一定要及时修复漏洞，升级系统。

除了上述两点外，用户还需谨慎安装插件。安装插件可为智能硬件设备提供丰富的扩展功能。以智能路由器为例，目前市面上提供的路由器插件包括宽带提速、游戏加速、屏蔽广告、自动登录、恶意入侵拦截、虚拟内存、主题美化、远程下载等，甚至还包括购物平台及智能家居平台。从IoT安全层面看，每增加了一个插件，就相当于增加一个入口，如果插件中存在漏洞，则可能“因小失大”。

厂商能否为IoT设备设置高强度的出厂密码，同样关乎IoT设备安全。360安全大脑监测数据显示，在进行抽样调查的IoT设备中，出厂设置弱密码的设备数量占比高达64.4%，存在较高的被暴力破解风险，危及用户隐私。

约三分之二的厂商，未能在接到第三方报告后三个月内修复系统漏洞。除安全意识不足的因素外，在IoT行业，很多厂商由硬件厂商转型而来，其软件和安全技术相对欠成熟，这也可能带来“不修复或延迟修复”情况。

360安全大脑根据安全大数据分析保守预测，如果不采取有效措施提高IoT设备安全性，2019年，IoT设备漏洞将以28.6%的速度增长，安全形势不容乐观。