让安全专家也头疼的7种物联网设备

每天，都有大量未经严格安全测试的物联网设备接入我们的生活，我们必须意识到这是一个逐渐累积风险的过程。就像我们要求高速公路上的车辆遵守安全标准，必须经过年审测试，以确保交通安全，但对于信息高速公路上的物联网设备，却没有完善的产品网络安全规范和要求，对其工作运行的安全监督就更少。种种迹象表明，智能物联网应用领域的网络攻击和隐私泄露威胁正在快速发展。

以下总结了目前应用广泛，且存在较大安全隐患，让专业安全人员也感到头痛的7种物联网设备：

01

物联网监控摄像头

无论是针对城市街道、企业设施，还是学校、医院，物联网摄像头已经成为我们互联互通、监控生活的主流应用。即使不考虑监控视频泄露所引发的大量隐私担忧，物联网摄像头的其他安全隐患也已浮出水面。Mirai僵尸网络的崛起及其造成的DDoS攻击破坏，就是摄像头威胁的典型体现，因为攻击者善于滥用物联网摄像头的安全漏洞，并以此创建机器人攻击军团来实施非法攻击活动。

安全研究人员表示，物联网摄像头往往充斥着各种缺陷，包括流媒体视频中使用的协议缺乏认证，以及摄像头、应用程序和服务器之间所有通信缺乏加密保护等等。这些缺陷不仅会造成Mirai式的DDoS攻击，还开启了针对性攻击趋势，这包括远程接管摄像头、实施商业欺诈活动等。

02

扫地机器人

你是否意识到，当扫地机器人在房间和办公室四处游荡时，其可能不仅仅是在清理灰尘，同时也在绘制这些空间的布局，并将这些数据传输回设备供应商的云端数据库？可能很多人直到此刻都没有意识到这一点，因为大多数人不会深入思考吸尘器的工作原理。

但这是事实，就在几个月前，亚马逊以17亿美元的大价钱收购了Roomba的制造商iRobot，后者是全球拥有消费者物理空间详细数据的最大公司之一。此事作为亚马逊收集物联网数据的又一实例，再次引发了隐私倡导者的警惕。消费者维权组织Public Citizen的主席Robert Weissman对此表示，“亚马逊此举并不仅仅是要在其市场上销售另一种设备，而是想要获取我们生活中的更多隐私细节，以赢得不公平的市场优势，向我们出售更多产品。”

03

智能音箱

“嗨，智能音箱，告诉我，把你连接到云端，会有什么网络安全风险吗？”

各大互联网巨头厂商先后都推出了智能音箱产品，具备大量令人无法抗拒的功能，甚至是安全人士也难以抵御智能音箱的使用诱惑。调查显示，许多安全专业人士都在使用各种智能音箱，不仅是有趣，同时也方便生活，只需一个简单的语音命令就能控制灯光开闭、音乐播放等，但是这种便捷的形式无疑增加了安全和隐私风险。

目前，智能音箱存在的各种潜在风险已经充分暴露，从供应商的窃听，到对消费者的其他行为分析，再到被恶意行为者劫持来监视企业商业活动。不过，行业针对智能音箱类产品应用中的隐私保护却仍然缺乏足够技术手段和标准。

04

智能马桶

智能马桶使用已经非常广泛，其使用也非常便捷，可以让人们的生活更加方便、舒适。在未来智能马桶的产品愿景中，科学家们开始为其添加更多的能力。他们认为，人们背部有像指纹一样独特的生物识别特征，通过这种智能马桶可以在早期阶段识别出某些疾病。其他想法还包括可以远程筛选排泄物并上传数据以发现疾病迹象的厕所等。Thomson Reuters的一项调查显示，只有一半的受访者对使用更加智能的马桶感到舒服，30%的受访者人表示，因为安全难以保障，他们会竭尽全力抵制将智能马桶连接入物联网系统。

05

车联网应用

车联网应用是目前物联网领域最受关注的焦点，很多服务商都在大力宣传这种应用的好处，比如简化收费流程、找回被偷车辆、实现安全驾驶等。

但是，当涉及其他监视或跟踪破坏时，智能车联网应用无疑也为各种安全和隐私问题敞开了大门，为恶意行为者非法跟踪、操控车辆提供了可乘之机；而且，当车联网系统出现故障时，更会引发大量的车辆可用性问题。

值得注意的是，智能车联网应用已经开始常态化和永久化，应对车联网应用引发的安全挑战将是一个长期的过程。

06

智能家居电器

安全漏洞已经不是企业安全人员的独有工作，很多家庭主妇也必须要面对智能微波炉、热水器设备中的系统固件损坏。十年前，这种情况听起来可能有点“天方夜谭”，但现在已经越来越普遍。

今年初，一家著名微波炉制造商由于系统管理员人为错误，致使该公司在欧洲各地推出了错误的无线固件更新，使微波炉误以为自己是蒸汽烤箱，结果导致数万台设备受损。像烤箱、微波炉和冰箱这样的智能家具设备可能并不一定像其他物联网设备那样具有巨大的企业风险，但上述情况值得提出适当的风险评估问题，“将这些设备制成‘智能’设备的回报真的值得吗？”

07

智能门锁

机械门锁是我们日常生活中最根本、最具象、最熟悉的安全屏障。人们锁上门，期望通过这些锁把坏人关在门外，但安全行业有一句老话：“防君子不防小人”。在物联网“智能锁”时代，事情变得更加糟糕，因为开锁工具不再是钩针，而是脚本和嗅探器。作为一种设备，智能门锁听起来很酷，对普通人来说也很方便。但这些设备也为一些攻击场景铺平了道路。智能门锁会拥有很多看上去很高级的安全功能，包括指纹读取器、反窥视触摸屏，以及通过蓝牙和WiFi的APP端控制，这些联网功能也让用户对安全性感到不安，攻击者可以物理定位并远程控制连接到供应商云基础结构的任何智能门锁，同时还能够窃取用户的隐私数据。

结语

目前广泛应用的物联网设备中，大多数都会存在各样的安全问题。因此，我们在享受智能物联设备带来便利的同时，一定要提高网络安全防范意识，了解网络安全相关知识，学习网络防范相关技巧。以下建议可以帮助我们更安全地应用智能物联网产品（系统）。

及时升级安全补丁。网络环境是整个物联网正常运行的基础，作为普通用户应及时对设备进行固件或软件补丁升级，应对不断更新变化的网络攻击手段，确保自己的物联网设备应用安全可靠。

关注网络流量异常变化。可以借助路由器流量管理功能，查看物联网设备网络数据流量，提早发现可疑数据传输行为，及时阻断网络攻击。

强化身份认证管理。用户在使用智能物联网设备连接网络时，建议使用较强的秘密组合加强身份认证，防御黑客破解、非法访问、嗅探等攻击。多数物联网设备都是连接到一个中心控制设备，为了防止物联网设备被僵尸网络攻陷，建议定期对中心设备管理密码进行更新。

避免使用开源组件产品。由于很多物联网产品考虑成本原因采用开源代码组件来构建软件系统，这类软件系统会让攻击者更容易找出代码漏洞，很多安全事件也表明对这类产品的攻击往往多于非开源产品。

采购主流物联网服务商产品。在选择智能物联网设备时采购主流厂商的产品，通常情况下，大型厂商对产品的安全性要求较高，即使产品发现漏洞也有能力做到及时修补。

审核编辑 ：李倩