E安全4月21日訊 隨著聯(lián)網(wǎng)設(shè)備逐漸走進人們的數(shù)字生活，物聯(lián)網(wǎng)（IoT）安全也就成了2018 RSA安全大會的熱門話題。RSA 2018大會上有很多關(guān)于物聯(lián)網(wǎng)漏洞的討論，但似乎并未給出一個明確的解決方案。

賽門鐵克產(chǎn)品管理資深總監(jiān)約翰·庫克表示，如今的大量物聯(lián)網(wǎng)設(shè)備的制造商更像是“淘金熱”，每個人都想快速撈金。

IDC 市場研究公司表示，物聯(lián)網(wǎng)智能家居設(shè)備市場相當誘人，將成為第四大行業(yè)，預(yù)計的消費者物聯(lián)網(wǎng)支出2018年將達到620億美元（約合人民幣3900億元）。盡管如此，大多數(shù)設(shè)備的設(shè)計并未考慮安全性。

物聯(lián)網(wǎng)存在哪些安全問題？

2016年的 Mirai 僵尸網(wǎng)絡(luò)感染了30多萬臺包括網(wǎng)絡(luò)攝像頭和路由器在內(nèi)的物聯(lián)網(wǎng)設(shè)備，這足以說明物聯(lián)網(wǎng)安全問題帶來的影響巨大。盡管 Mirai 僵尸網(wǎng)絡(luò)敲響了警鐘，但聯(lián)網(wǎng)智能家居設(shè)備的安全性似乎并未改觀。

普遍的安全問題

ESET 全球安全推廣大使托尼·安斯科姆花費數(shù)月時間測試了12款物聯(lián)網(wǎng)設(shè)備，結(jié)果發(fā)現(xiàn)這些設(shè)備存在未加密的固件升級問題、未加密的攝像機視頻流、明文通信，密碼存儲未設(shè)置保護等安全缺陷。

關(guān)注物聯(lián)網(wǎng)設(shè)備隱私

物聯(lián)網(wǎng)安全過去幾年一直備受批評，物聯(lián)網(wǎng)設(shè)備隱私問題也是此次 RSA 大會頻頻強調(diào)的另一痛點，尤其 Amazon Echo 和 Google Home 這類語音助理設(shè)備興起之后更是如此。

安斯科姆指出，這些物聯(lián)網(wǎng)設(shè)備普遍存在一個可能與漏洞無關(guān)的問題——過度分享數(shù)據(jù)。他以物聯(lián)網(wǎng)體重秤為例，這類體重秤可與 Amazon Alexa 連接，數(shù)據(jù)中會存儲用戶與稱之間的交互，而這正是網(wǎng)絡(luò)犯罪夢寐以求的事。

芯片問題與成本

物聯(lián)網(wǎng)存在的各種安全問題需要物聯(lián)網(wǎng)設(shè)備制造商和終端用戶聯(lián)合采取措施確保設(shè)備安全，他們將安全視為低功耗聯(lián)網(wǎng)設(shè)備的昂貴替代品。Fitbit 公司的安全資深總監(jiān)馬克·鮑恩指出，許多聯(lián)網(wǎng)設(shè)備制造商愿意使用便宜的低功耗芯片，而非安全性高的芯片。

組件太多，狀況復(fù)雜

鮑恩指出 IoT 設(shè)備的另一個問題是，物聯(lián)網(wǎng)設(shè)備有太多組件，包括處理器、云與Web服務(wù)、設(shè)備與應(yīng)用程序，這導(dǎo)致很難兼顧所有這些組件的安全問題。系統(tǒng)的每部分都至關(guān)重要，漏洞可能就存在于應(yīng)用程序、平臺、設(shè)備、傳感器和云中。

許多設(shè)備制造商升級物聯(lián)網(wǎng)設(shè)備安全性的第一個步驟是了解設(shè)備的使用方式，并利用對設(shè)備的了解創(chuàng)建威脅模型。鮑恩指出，設(shè)備制造商有必要創(chuàng)建威脅模型以考慮保護設(shè)備的所有情形。

制造商對安全性的重視必須由終端用戶來推動，但消費者強求要求安全性更佳的情況可能還沒有發(fā)生。