安全机构:平均每款物联网设备含34个安全风险
政府采购信息网 作者: 发布于:2019-04-05 08:31:14 来源:中国新闻网
投稿邮箱为:tougao@caigou2003.com,投稿时请附作品标题、作者姓名、单位、联系电话等信息,感谢您的关注与支持!一经采用,本网会根据您的文章点击情况支付相应的稿酬。
日,腾讯安全科恩实验室发布《2018年IoT安全白皮书》(以下简称“白皮书”)指出,在486款最新版本IoT(物联网)设备固件中,共发现16508个安全风险,其中智能家居设备存在的安全风险数量最多。
平均每款被检测IoT设备含33.96个风险
随着物联网产业的快速发展,越来越多的物联网设备被应用在人们的生产生活中。
白皮书数据显示,目前全球物联网设备数量已达到70亿,预计到2020年,活跃的物联网设备数量将增加到100亿。不过,物联网安全问题也日益突出,引发社会广泛关注。
对此,腾讯安全科恩实验室对2018年市场占有率较高的486款最新版本IoT设备固件进行检测,共发现16508个安全风险,平均每一款被检测的IoT设备包含33.96个安全风险,其中智能家居设备存在的安全风险数量最多。
白皮书指出,单个设备平均安全风险数量从高到低分别为智能音箱、摄像头、路由器/交换机、无人机、智能门锁。如,摄像头屡屡被曝出针对图像数据的隐私侵犯以及未授权入侵等安全问题。
“利用这些已存在的IoT设备安全风险,数千万的IoT设备会受到影响,轻则正常功能被阻塞,无法响应用户请求,重则被不法分子利用来精心构建完整攻击链路”,白皮书强调,不法分子获取更高系统权限,可将IoT设备变成公开的密码本和行走的感染源。
第三方库的严重、高危风险形势严峻
据白皮书介绍,IoT固件安全风险类型主要分为公开安全风险(Nday)和未公开安全风险(0day),其中公开安全风险占绝大部分,这与IoT厂商在开发生命周期中忽略公开漏洞的排查和修复密切相关。
近年来,由于第三方库安全问题引发的IoT安全事件不容忽视。简单来说,第三方库也就是别人提供的代码库。基于节约开发成本、提高开发效率、缩短开发周期的目的,不少IoT开发商会直接使用第三方库。但是,一些IoT开发商不重视第三方库的安全性,缺失了针对第三方库代码的漏洞审查环节。
统计显示,第三方库在IoT固体安全方面造成的安全风险数量甚至比App上的情况更为严重。在本次检测统计中,由第三方库导致的Nday安全风险占比超过发现总量的90%。第三方库安全风险按等级划分,目前严重、高危比例接近50%。
值得注意的是,第三方库在版本上的滞后非常明显。白皮书强调,第三方库在版本迭代和更新频率上各不相同,平均滞后版本数量达到了68.75个。甚至,目前被调用的第三方库中,仍有七种第三方库没有团队维护,这可能会为IoT固件开发埋下安全隐患。
白皮书还指出,开发阶段人员安全意识不足,存在使用弱口令、硬编码密钥等问题,都非常容易引发严重的IoT安全事件。
版权声明:
本网发布内容凡注明来源为政府采购信息网/政府采购信息报的,表明“政府采购信息网/政府采购信息报”拥有其版权或已获得授权,内容形式包括但不限于文字、图片、音频、视频等。如需转载请注明来源于政府采购信息网/政府采购信息报,标注作者,并保持文章的完整性。否则,将追究法律责任。
其他来源稿件,本网已标明出处及作者,转载仅为信息分享,如涉及版权等问题,请相关权益人及时与我们联系。
下一篇:构建自主可控的物联网安全秩序
网友评论
- 承德护理职业学院校园网络升级服务项目竞争性谈判采购公告
- 日照市中级人民法院数据网络安全系统公开招标公告
- 工业PON等网络技术在制造型企业的示范应用采购项目招标公告
- 册亨县123个行政村村级公共基础设施(信息网络建设)采购采购公告
- 桐梓县教育系统光纤网络租赁服务二次招标采购公告
- 天长市农村物流三级网络节点体系规划项目招标公告
- 重庆西恒工程咨询有限公司路口网络租赁(GGZC2020-G3-00319-CQXH)招标公告
- 国家税务总局吉林省税务局人民广场办公区无线办公网络建设项目第二次公开招标公告
- 北京市公安局石景山分局基础网络系统升级改造项目公开招标公告
- 河南省市场监督管理局(原省工商局)网络租赁项目招标公告