在摄像机、电视盒子和打印机这三种家庭和办公中最常用的智能设备中,摄像机成为最不安全的智能设备。
11月27日,360安全大脑发布国内首个智能设备安全报告,报告显示随着越来越多的智能设备进入家庭和办公环境,安全问题正日益突出。
这份报告从家庭及办公场景下最常见的三类IoT设备:智能摄像机、电视盒子、智能打印机入手,对50余个品牌近200种不同机型的产品进行抽样检测,检测范围涵盖对IoT设备危害最大,也最为普遍的三大类安全漏洞:远程弱口令漏洞(Telnet弱口令、HTTP弱口令、FTP弱口令)、预置后门漏洞和敏感信息泄露漏洞。
检测发现,19.5%的智能摄像机存在上述常见安全漏洞,成为最“危险”的IoT设备;15.8%的智能打印机存上述常见安全漏洞,位居第二位;4.4%的电视盒子存在上述常见安全漏洞,位居第三位。
智能摄像机就像眼睛,这个眼睛已经应用于家庭、公共服务等多领域,其漏洞一旦被利用,这个眼睛过去记录的影像会被窃取,还可以被用来观察隐私和公共环境,可能引发重大安全风险。
在智能摄像机存在的漏洞中,远程弱口令漏洞占比最高,为91.7%。“远程服务”是智能网联设备的“标配”,例如远程查看摄像头画面,要使用“远程服务”就需要合法的账号登陆设备,系统往往预设了远程弱口令,如果用户不修改,则极易被黑客破解,继而丧失设备控制权限。
智能打印机存在的漏洞中,远程弱口令漏洞占比最大,为95.8%。在企业的日常工作场景中,远程传输文件进行打印是再熟悉不过的行为。如果打印机管理员疏于修改打印机出厂设置的远程服务弱口令,可能引发商业机密的泄露,带来不可估量的损失。
在电视盒子暴露的漏洞中,敏感信息泄露漏洞占比高达92.7%,远超其他类型漏洞。该漏洞主要由敏感数据存储未加密、采用明文传输等原因导致。利用这些漏洞,攻击者能远程查看用户电视设备播放的节目列表、历史记录,甚至造成用户的视频网站账号密码泄露。如今电视盒子已走进千家万户,其安全风险不可小觑。
面对这些常用IoT设备的高危漏洞情况,360安全大脑建议,产品上市前首先应与专业安全产商、安全机构合作,进行充分的安全检测,并且建立和健全产品更新机制,产品投入市场后定期更新维护产品,提供完备的用户服务。此外,产品在设计时,就应置入安全模块,在整体产品设计架构中充分考虑安全性。用户在进行这些设备的使用过程中,也应提高安全意识,在密码的使用上不要设置弱口令密码,及时进行漏洞的升级与修复。
除了这些安全方面的建议,360 IoT安全生态守护计划也在守护着万物互联时代IoT设备的安全,该计划包括安全审计、安全加固、应急响应三大部分,可以为IoT设备进行安全监测、漏洞监测,并解决隐私安全、数据安全、设备安全等问题。它的一大特点,就是“让产品过一道黑客关”的安全理念,从“攻”的视角打磨“防”的手段,从黑客攻击的视角上发现IoT潜在风险和漏洞,并通过安全众测、红蓝对抗等方法,不断提升产品的安全性。