当前位置:首页 > 消费电子 > 便携设备
[导读]   安全性在传统企业网路上就已经很难管理,现在又加上了各种大大(例如汽车)小小(例如网路摄影机、婴儿监视器)的物联网(IoT)装置,而且打造这些装置的厂商几乎没有网路安全意识。   连网

  安全性在传统企业网路上就已经很难管理,现在又加上了各种大大(例如汽车)小小(例如网路摄影机、婴儿监视器)的物联网(IoT)装置,而且打造这些装置的厂商几乎没有网路安全意识。

  连网装置应用领域从中央监控系统(SCADA-systems)到消费性电子产品,随着研究人员陆续公开重大缺陷,这些装置的安全漏洞也在过去一年成为聚光灯焦点。有些受影响的产业第一次是透过所谓的“白帽”骇客,发现在汽车、心律调整器、道路交通系统、家庭自动化系统以及飞机等产品的弱点;而一个重大的转变是,现在公共安全有一部分等同于上述那些产品。

  有一些因为特殊用途所配备的功能实际上成为安全漏洞,例如有目的的后门(intenTIonalbackdoors)、硬式编码凭证 (hardcodedcredenTIals)、未加密的资料流量,以及与非关键系统位在同一个网路的关键系统。尽管在不久前于美国举行的 BlackHatUSA以及DEFCON大会上,专家们已经大力宣传这些弱点,很多安全漏洞都还未被修正且仍然脆弱。

  为何不修补或是更新那些物连网装置,或是把它们打造得更安全?要保护那些消费性电子产品以及其他嵌入式系统,还需要克服以下几个大挑战:

  1.通常没有一致性或官方的软体更新程序/机制

  在Windows平台装置上的恶意软体最后都会被发现,但BeyondTrust技术长MarcMaiffret表示,物联网装置内部的“能见度”很低甚至是零:“谁都看不见那些装置内有什么,如果有更新、也看不见其韧体的可信赖度。”

  因为那些装置很多是采用Linux架构平台,Maiffret建议其软体应该要由一个开放性社群来管理,以处理漏洞或是安全性更新;举例来说,IP摄影机或是SAN储存系统应该要具备定期的Linux更新机制:“它们应该要是开放性的,如此才能真正被视为Linux作业系统装置,让我们能建立安全机制并像其他Linux装置一样来管理。”

  SolarWinds产品管理副总裁ChrisLaPoint表示,他自己拥有3支家用IP摄影机,都不是执行最新的韧体,也不清楚它们是否有漏洞:“甚至是大多数这类装置的设定指令集、围绕它们的安全控制配置以及修补程式…它们该如何被管理?”

  2.很多消费性产品以及其他非传统性IT供应商,对嵌入他们系统中的网路威胁了解很少或根本不了解

  多数嵌入式装置制造商与安全性技术社群之间的隔阂甚深,卫星终端供应商就是一个例子;IOAcTIve首席安全顾问 RubenSantamarta就发现,那些装置内的硬式编码密码、后门以及不安全的通讯协议,可能会让攻击者入侵并中断船舶、飞机与军事设施的通讯连结。

  Santamarta还发现,那些受影响的设备供应商根本没有计画来修补那些缺陷;有部分供应商还坚称那些问题不是漏洞,只是他们的产品中非必要的功能。IOAcTIve技术长CesarCerrudo也有类似的经验,他所研究的智慧感测器制造商因为客户要求而移除了装置中的加密;因为少了加密机制,装置韧体能被伪造、也能被植入恶意软体。

  安全产业发起了IAmtheCavalry、BuildItSecure.ly等计画,期望能拉近与嵌入式装置制造商之间的距离,那些“白帽骇客”们也能协助并研究如何更妥善的保障产品安全。

  3.装置的安全性通常缺乏可负责者

  SolarWinds的LaPoint表示,大多数消费性装置的安全性该由谁来负责,往往没有清楚的权限划分:“你问装置制造商,他们也会说不知道;他们几乎不会想到这个问题。”

  有些厂商只是透过官方网站发布韧体更新,而且端看消费者或使用者自己要不要下载安装更新:“有的安装更新只有简单说明,例如只告诉你要用USB缆线连结;我不认为装置制造商认为他们应该要负责维护装置的安全性。”

  4.许多装置所配置或因特殊用途而建立的功能实际等同于安全漏洞

  许多物连网装置与IT系统是在同一个网路上;“这些装置是不是总有一天会成为把其他东西送进我的网路的桥梁?”LaPoint表示:“如果有人透过我的网路摄影机看见我在家里穿着内裤跑来跑去,这很不妙;而如果他们收集我的个资或其他在相同网路上的设备资讯,那又该怎么办?”他说,关键在于将这些消费性连网装置与同一网路上拥有敏感资料的系统分开。

  物联网对企业来说是一个新挑战,至少有许多方法能在那些装置一旦被定义时,为其添加安全措施;安全专家指出,物联网装置的数量将会是我们前所未见,评估并具备了解网路所传递的流量来自何处的能力,以及能追踪它们并关闭的能力,是企业关键必备的。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

自3月20日起,库克先后到访上海,北京。期间亚洲最大苹果直营店在上海开门营业,库克亲临。此外,他还密会了比亚迪王传福,不知谈论些什么机要。

关键字: iPhone 苹果 AI iPhone AI手机

业内消息,近日市场调查机构 Canalys 在社交媒体平台X上发文,分享了 2023 年全球最畅销的智能手机前十榜单,其中苹果 iPhone 占据 7 席拔得头筹,三星占据 3 席,两者垄断全球最畅销的智能手机 TOP...

关键字: 手机 出货量 苹果 三星 iPhone

业内消息,近日传言称苹果现已开始向iPhone电池门的受害者发放赔偿金。参与该案并提交索赔的iPhone用户已经陆续获得打款,每份赔偿约92.17美元,其中部分人可能收到总计近1000美元的赔偿。

关键字: iPhone 苹果

业内消息,鸿海集团日前发布公告代印度子公司Foxconn Hon Hai Technology India Mega Development Private Limited以自地委建厂房,预计参与投入之金额为1282.0...

关键字: 富士康 印度 鸿海 iPhone

10月9日消息,华为官方发布声明,称网传“华为发布声明拒绝富士康代工请求”纯属造谣。

关键字: 富士康 苹果 iPhone 华为

业内消息,苹果印度供应链的代工巨头和硕位电子于印度金奈(Chennai)的工厂于当地时间今 9 月 24 日发生火灾,该事故导致 iPhone 手机的组装业务暂时中止。

关键字: 印度 苹果 大火 iPhone

近日,国内著名通信专家项立刚发文称,“苹果手机不显示真实网络,iPhone 5G信号涉嫌虚标”。对于这一言论,他给出了四个理由。

关键字: iPhone 苹果 手机 5G

业内消息,昨天美国芯片巨头高通公司发布公告宣布和苹果公司达成续约协议,继续向 iPhone 系列智能手机供应骁龙 5G 基带(调制解调器射频系统)三年,也就是说双方于今年到期的合约将再度延长至 2026 年。

关键字: 苹果 高通 iPhone 5G 基带芯片 调制解调器 射频

据业内消息报道,苹果和富士康已经签署一项新的协议,富士康将投资 4 亿美元(约合 29.23 亿人民币)在印度特伦甘纳邦(Telangana)首府海得拉巴(Hyderabad)扩建工厂为苹果生产 AirPods TWS...

关键字: 富士康 苹果 iPhone AirPods

近日,有数码博主@i冰宇宙在社交媒体平台曝光了一组 iPhone 15 Pro 铝板模型机的上手图片,并声称这就是真机的上手效果。

关键字: iPhone 15 Pro iPhone
关闭
关闭