威尼斯90588 cc-vns9848威尼斯城

研究人员表示市场上仍有已知的安全漏洞的智能家居设备

佛罗里达理工学院(Florida Institute of Technology)的研究人员发现,包括AMAZON(亚马逊)和沃尔玛(Walmart)在内的知名零售商正在销售带有严重网络安全漏洞的智能门铃和其他联网设备。

这项新研究加剧了人们对网络上不安全智能家居设备泛滥的担忧,以及政府缺乏监管保护消费者免受脆弱设备伤害的担忧。

佛罗里达理工学院(Florida Institute of Technology)计算机科学教授TJ O’connor和他的研究生丹尼尔坎普斯(Daniel Campos)表示,他们在设备制造商Geeni及其母企业默克瑞创新(Merkury Innovations)生产的七款智能门铃和摄像头中发现了漏洞。

他们说,这些漏洞为黑客提供了一系列方法来操纵和控制设备上的音频和视频,包括下载或删除文件。在一个模型中,研究人员发现了一个后门,黑客可以在不留下任何设备被侵入迹象的情况下进入。

奥康纳说,发动攻击所需的技术水平相对较低。大多数攻击都依赖于找出设备自带的默认密码。

奥康纳说,研究人员在11月向默克尔报告了这一发现,但这些漏洞尚未得到修复。

发言人Sol Hedaya在一封电子邮件中写道,默克尔已经知道了调查结果,并表示其团队正在进行更新工作,以修补定于本月公布的漏洞。Hedaya补充说,研究人员标记的两款产品“是已经停产的产品,销量非常少,只占现役设备的不到0.1%。”

“大家定期更新应用程序和设备的安全性,”Hedaya说。“我要强调的是,大家没有任何已知的利用这些漏洞的行为。”

在线购买智能门铃的用户可能不会意识到这些问题。

目前还不清楚这些更新会影响多少部手机,但研究人员标记的机型已经在包括家得宝(Home Depot)、百思买(Best Buy)、沃尔玛(Walmart)和AMAZON(亚马逊)在内的流行在线零售商获得了数千条正面评价。

“大家要求所有供应商遵守适用的法律、法规和行业标准,并将直接与供应商合作,调查这些问题,”家得宝发言人克里斯蒂娜·康奈尔(Christina Cornell)告诉《华盛顿邮报》(Washington Post)。

百思买和沃尔玛没有回复置评请求。截止日期前,AMAZON并未对此发表评论。

漏洞一次又一次地出现在联网的家庭设备上。

今年春天,奥康纳实验室的一名学生在另外11家联网安全摄像头和门铃制造商身上发现了另一组“设计缺陷”。奥康纳说,包括GOOGLE和SAMSUNG在内的供应商迅速做出回应,修复了这个问题。GOOGLE甚至为找到bug的学生提供奖励。

近年来,流行的家庭安全设备企业也发生了一系列事件。

2019年,“恶意”行为者获取了用户密码,访问了多个用户的亚马逊 Ring账户,在某些情况下还骚扰了家庭。黑客还侵入了GOOGLENest的摄像头。最近,安防摄像头企业ADT被起诉,因为它的员工未经授权,利用不充分的安全程序进入了200多名客户的摄像头。

在所有这些例子中,常见的是黑客只需要非常简单的工具就可以进入。奥康纳说:“我喜欢把这称为黑客的1999年。”他的实验室用于测试物联网设备的工具将处于“上世纪90年代末的新手水平”,远不及攻击其他受信任的个人设备(如笔记本电脑和手机)所需的复杂程度。

奥康纳说,有一些供应商认真对待安全问题,但这并不经常公开。“事情是这样的:你走进百思买(Best Buy),看着那台设备,看着它旁边的设备,没有任何东西告诉消费者哪个供应商的做法是正确的,”他说。

物联网仍然是安全领域的蛮荒西部。

尽管一直有人在讨论推动第三方审计标准,比如用于审查家电安全的标准,但监管审查很少,专家说,这导致了各种各样的安全做法。

联网设备的前景只会越来越大。诺基亚(Nokia)的研究人员表示,黑客注意到:2020年,约三分之一的移动网络感染是由物联网设备造成的。

奥康纳说:“我不能把冰箱放在家里,除非它经过了……测试,以确保它不会爆炸。”“但在我家里,我的床边有一个设备,上面连着一个麦克风,很少有人监督。还有一个摄像头正对着我的客厅。”

专家说,制造商的检测并不统一。

ReFirm Labs联合创始人兼首席安全官特里•邓拉普(Terry Dunlap)表示,根据他与制造商合作进行漏洞分析的经验,许多制造商都不愿意削减利润来审计安全性。ReFirm Labs为佛罗里达理工大学提供物联网漏洞研究的开源App。

“似乎没有人把安全编码当回事。我认为这要从制造商开始,”邓拉普说。“我不知道这些人雇佣了谁来为这些设备编程,但编程很草率。”

“很明显,他们没有接受测试,因为大家发现的漏洞非常、非常容易找到,”奥康纳说。

目前,还没有联邦法律在接入互联网的设备到达消费者之前制定标准。加州一项要求制造商在联网设备中引入“合理安全功能”的法律于2020年1月生效。这项法律有助于防止依赖于默认密码的攻击,比如佛罗里达理工学院的研究人员发现的那些密码——但除此之外就没什么用了。

去年通过的一项联邦法律可能会促使一些制造商改进。

“这些报告强调了加强公共和私营部门网络安全的重要性,这是我长期致力于解决的问题,”参议员玛吉·哈桑(n.h.民主党人)在一份声明中说,她是去年签署成为法律的一项法案的共同发起人,该法案为政府使用的物联网设备引入了安全要求。

她说,她希翼通过新法律“利用联邦政府的购买力,来激励所有联网设备的更好安全”。

但曾担任立法初稿顾问的邓拉普并不那么确定。

他表示:“我认为(制造商)正在观望此事对政府承包商的影响。”“这是自愿遵守的,这一切都将取决于监管机构的实际检查,以确保这些设备符合法律。”

慎重声明:本文版权归原编辑所有,转载文章仅为传播更多信息之目的,如编辑信息标记有误,请第一时间联系大家修改或删除,多谢。

威尼斯90588 cc|vns9848威尼斯城

XML 地图 | Sitemap 地图