■墨菲
哪些设备最易受到攻击
■墨菲
根据Gartner公司的调查结果,目前全球消费级联网设备总量已经超过30亿台,而这一数字将在未来一年中增长到40亿台。在这部分增量当中有相当一部分是受到了假日购物活动的带动,根据消费电子协会于今年10月发布的报告指出,调查显示约有65%的美国人表示在此期间有意购买消费级电子礼品。用于购买这些技术产品的整体支出将高达342亿美元,CEA首席经常学家兼高级研究员Shawn DuBravac称这将是有史以来规模最大的技术产品采购季。
这其中大部分礼品可能都属于联网设备,具体包括智能电视、平板设备、智能手机、上网本与笔记本产品乃至游戏主机等等。除此之外,还有约三分之一消费者计划购买今年刚刚出现的新兴技术产品,例如智能家居设备、可穿戴式设备、智能手表以及无人机等。
遗憾的是,大部分此类设备都会让用户的个人环境面临更为严峻的安全威胁。
与智能手机一样,平板设备的安全性水平也主要取决于其操作系统类型。尽管iOS设备也曾经偶尔遭到入侵,不过根据一份由Pulse Secure公司发布的移动威胁安全报告指出,目前97%的恶意软件都将目标设定为Android平台。
iOS生态系统提供一系列超越Android阵营的重要安全优势,其中包括对App Store内上架应用的严格控制,同时苹果公司也有能力快速向全部用户推送安全相关升级。相比之下,Android安全更新往往需要由各设备制造商自行提供,这就导致其更新节奏明显更慢。
不过平板设备还面临着一些额外的安全风险。“平板设备通常会被以等同于笔记本的方式加以使用,且通常包含大量与工作相关的敏感信息,”英特尔Security安全与隐私主管Bruce Snell指出。“与笔记本电脑不同,平板设备的安全保障工作往往不受关注,特别是在BYOD环境当中。”
根据Pew研究中心的调查,约有68%的美国成年公民拥有智能手机。而根据Internet Retailer的统计,今年年内移动购物活动总额已经占全部在线消费额度的30%。超过一半的智能手机用户使用网上银行服务,而目前每月有超过14亿用户通过自己的移动设备登录Facebook。“新型智能手机与平板设备每年都会进行数轮更新,而这些设备也成为馈赠亲朋好友的绝佳礼品——最新型号的手机总能让接受一方心花怒放,”Snell指出。不过还有很多用户尚未意识到,这些设备很可能成为潜在罪犯的入侵通道。
在顺利窃取或者以远程方式侵入一台智能手机之后,恶意人士能够获得的绝不仅仅是社交媒体账户、电子商务以及网上银行登录凭证,他们同时也能够窥探到受害者的电子邮件、个人照片与视频、工作与个人联系人、家庭及办公环境登录凭证以及保存在设备中的位置数据。
另外,攻击者可能还会以远程方式激活智能手机的麦克风,从而窃听企业会议或者追踪设备持有者的当前位置。根据Snell的说法,当前对智能手机安全性影响最大的因素之一正是操作系统——平板设备也是如此。“这也正是iOS与Android之间最大的差异所在,”他表示。
调查结果显示,用户行为同样是需要关注的重要因素。根据卡巴斯基实验室与B2b国际今年发布的一份研究结果,目前有30%的Android手机持有者并没有利用密码对自身设备加以保护,而44%的Android手机持有者并没有安装过任何反恶意软件解决方案。
而最近逐渐增多的蓝牙周边设备则给智能手机带来更多可资利用的安全漏洞,Snell解释称。“一部分设备会使用默认密码进行蓝牙装置验证,例如0000或者1234,这就使得网络犯罪分子能够轻松与我们的设备进行匹配。”而事情远不止如此简单,他进一步补充称。“蓝牙连接机制的最大问题在于其只会进行一次验证,”他指出。“在进行过一次匹配之后,对应的蓝牙装置就会处于受信状态,这意味着恶意人士完全可以借此进行中间人或者身份伪造攻击活动,而对主体设备及其网络连接加以渗透。”
目前无人机市场仍然处于起步阶段,但随着此类设备变得越来越受欢迎,它们也将更多地被黑客们作为攻击目标。攻击者能够利用安全漏洞窃取无人机本身,或者利用其交付盗窃到的其它赃物。“以远程方式入侵无人机与Wi-Fi间连接的作法真实存在。”Snell表示。
今年已经出现了一系列针对婴儿监控装置、保育以及其它类似设备的黑客活动。如今任何一款内置摄像头的联网设备都存在潜在安全漏洞。“甚至有一些匿名网站开始利用未受保护的摄像头播放隐私视频。”他补充称。
攻击者可以利用这些设备获取个人隐私、窃取录制好的视频、追踪人们在家中的动向,或者接入本地网络。“这是一种非常严重的安全压力,如果被攻击者有针对性地加以利用,本文中讨论的其它大部分安全漏洞以及信息外泄途径与之相比根本不算什么,”研究人员们在报告中指出。这份报告已经得到了媒体的普遍关注,而且大部分相关设备厂商也参与到了问题的解决工作当中。
根据Snell的说法,各类能够接入互联网的儿童玩意也可能成为犯罪分子得以窥探儿童本身乃至其家庭的通道。举例来说,很多孩子都会使用其父母的电子邮箱及设备访问对应应用以控制其小玩具。“如果孩子的移动应用受到感染,那么黑客就能够直接访问到其父母的数据,”Snell指出。“这有可能导致恶意软件被安装至父母的设备中并以此为基础进行扩散。”
此类玩具之一正是由Sphero出品的星战系列BB-8机器人,其能够通过智能手机上的应用实现远程控制。“其中的薄弱环节并不仅仅在于手机与BB-8之间的通信协议,事实上该玩具的固件也存在着被修改的风险,”物联网安全企业Bastille Networks公司创始人兼CTO Chris Rouland指出。
目前正当红的另一款此类玩具则是由美泰公司生产的Hello芭比,他强调称。“根据这款娃娃的产品说明,其能够通过互联网连接与ToyTalk云相关联,从而使用其中保存的数千条由用户录制好的语音,”他表示。“当然,根据供应商的管理政策规定,其会对相关对话录音加以严格保护。”
今年早些时候,惠普公司对十款最具人气的智能手表产品进行了测试,并发现它们全部存在着严重安全问题。举例来说,其中半数压根不提供任何密码验证或者其它锁定验证机制,因此任何人在捡到这款手表后都能立即加以使用。
其中很多产品还存在着安全升级、验证以及数据加密功能缺失等问题。与这些设备相关联的应用本身往往也存在隐患,这可能导致个人隐私遭到外泄。另外,如果黑客能够接入到智能手表当中,那么他们也有可能访问到用户的移动设备或者其接入的网络环境。
除此之外,根据惠普公司安全研究负责人Daniel Miessler的说法,智能手表市场目前还处于新兴阶段,因此消费者们很难了解具体设备需要在哪些方面进行安全关注。
根据英特尔Security公司的Snell所言,黑客在侵入健身追踪设备或者其关联网站后将有可能访问到大量隐私信息。除此之外,黑客们也可以利用该设备接入到与之匹配的智能手机、平板设备、计算机或者家庭网络等等,英特尔Security公司的Snell解释称:“这是一款网关设备。”
再有,事实上今年十月已经有一位来自安全企业Fortinet公司的安全研究人员演示了如何通过蓝牙连接对高人气Fitbit健身追踪装置进行攻击。
不过Fitbit公司安全主管Sash Biskup则表示,尽管攻击者确实能够向Fitbit发送数据并查看其中的回显信息,但该产品并不存在安全漏洞,即其不可能将该数据发送至联网计算机或者利用其软件bug进行恶意软件传播。“这项软件bug不会造成任何安全漏洞,”他解释道。“我们的客户端不会利用该数据进行任何操作。我们花了大量时间对此进行观察。”
不过Fortinet公司对于Fitbit方面的说法并不认同,在其看来后者的产品确实存在安全漏洞,允许攻击者“向Fitbit设备发送二进制代码,并通过蓝牙连接将其进一步发送至与该设备匹配的计算机当中。”“我们支持这项声明,”Fortinet公司全球企业通信副总裁Sandra Wheatley Smerdon指出。“我不知道Fitbit方面是否已经修复了这项安全漏洞,我们还没有对研究结果进行后续追踪。”