正文
安全厂商Flashpoint最近分析了涉及物联网设备的DDoS攻击中使用的恶意代码。该公司发现,恶意软件利用的大量数字录像机预装有某一家厂商的管理软件。供应商将数字录像机、网络录像机(NVR)和IP摄像头板卡卖给众多厂商,然后这些厂商又将这些部件用于自己的产品中。Flashpoint估计,由于存在漏洞的部件来自同一厂商,超过50万个联网数字录像机、网络录像机和IP摄像头都会轻易遭受攻击代码的袭击。
3.
智能冰箱/智能家居产品
2014
年1月,安全厂商Proofpoint的一名研究人员在分析垃圾邮件及通过电子邮件传播的其他威胁时发现,至少有一台联网冰箱被用于转发垃圾邮件。
这起事件为分析师们一段时间以来所强调的事实提供了证明:如今安装在家里的许多联网设备,比如智能冰箱、电视、数字助理、智能供暖和照明系统等是极其脆弱的。
Tripwire
的安全研究和开发高级主管Lamar Bailey表示:“冰箱、个人助理和电视有足够强大的处理能力可用于僵尸网络,或用作闯入网络其余部分的访问点。” Tripwire在概念验证(POC)攻击中入侵了许多这样的设备。
ForeScoutTechnologies
的战略主管Pedro Abreu表示,这类设备在企业环境下也会构成威胁。例如,在办公休息室中的联网冰箱可以为闯入含有企业数据的系统提供一个意想不到的入口。
Abreu
说:“这倒不是为了入侵冰箱,而是为了通过冰箱获得网络访问权。由于联网冰箱连接到企业网络上,又连接到企业应用程序上,黑客就可以通过联网冰箱的入口,获得宝贵的企业数据和客户数据。我们非常关注‘不寻常的嫌疑对象’――这些设备表面看来似乎并没有任何安全风险,但是一旦你仔细观察就会发现其内在岌岌可危。”
4.
植入式医疗设备
无线支持的植入式医疗设备,比如胰岛素泵、起搏器和除颤器的安全漏洞让它们成为恶意攻击者的诱人目标。近年来,安全研究人员已经证明攻击者如何利用这些设备中未加密、整体薄弱的通信协议来远程控制它们,并且让它们出现可能致命的行为。
2013
年,因为担心攻击者入侵,前副总统DickCheney的医生甚至禁用了他体内起搏器的无线功能。
就在2016年10月,Rapid7的一名安全研究人员演示了攻击者如何利用Animas胰岛素泵的无线管理协议和配对协议存在的弱点,之后消费品巨头强生公司被迫提醒用户其胰岛素泵可能存在隐患。这个安全漏洞会让攻击者得以远程访问Animas胰岛素泵,并让他们向设备佩戴者释放致命剂量的胰岛素。
Arxan
的首席技术官Sam Rehman说,实施这种攻击所需付诸的努力和成本相对较少。他认为:“技术创新将大量产品推向市场,因此也增加了攻击面。随着越来越多的设备连接到互联网、开放的通信线路中,很明显就降低了黑客获得访问权、破坏医疗设备所需的难度和技能。”
5. SCADA
系统
很少有人认为用来管理工业控制设备和关键基础设施的监控和数据采集(SCADA)系统属于物联网的组成部分,但它们确实是。就像其他许多的物联网设备一样,它们也是十分脆弱的。
