男人关注趣闻网

其中的安全风险不容小觑,为严重漏洞,重者危及生命

  • 日期:2021-01-13 20:12:33
  • 来源:互联网
  • 编辑:小优
  • 阅读人数:466

回顾2020年,突发的疫情扰乱了经济和社会的正常发展节奏,但在某种程度上,疫情的到来也倒逼全球数字技术变革不断加速,加速了整个社会向数字化迈进。

新冠疫情期间,在远程诊疗、智慧零售、公共场所热成像体温检测、智慧社区,以及疫情期间的交通管制、物流供应链、应急灾备、信息溯源等场景下,我们可以看到物联网技术和应用已经大规模的深入到了生活中的各个角落。

据中国经济信息社发布的《2019-2020年中国物联网发展年度报告》显示,在网络强国、新基建等国家战略的推动下,我国加快推动IPv6、NB-IoT、5G等网络建设。报告指出,我国移动物联网连接数已突破12亿,设备连接量占全球比重超过60%,可见我国已经成为了一个物联网大国

不过,任何事物都有其两面性,当我们探索物联网产业的发展机遇之时,却往往忽视了其背后的安全难题。2020年中,因物联网设备自身漏洞被攻击导致信息泄露或无法正常运行的事件依然频发,基于物联网终端的攻击事件不断见诸报端,物联网安全形势依然严峻,其安全防护体系建设仍然任重道远。

一、小米米家智能摄像头被曝严重隐私安全漏洞

2020年1月上旬,一位米家智能摄像头的用户发现,当自己内容传输到谷歌智能设备Google Nest Hub上时,发现了许多从其他人家中获取的静止图像。这些图片包括人们睡觉的静止画面,甚至还有摇篮里的婴儿。谷歌在尝试解决问题的同时,完全禁用了小米摄像头对谷歌家居设备和智能助手Google Assistant的集成功能。

尽管米家很快修复了相关软件bug,但事实上,很多的智能家居科技厂家所生产的智能摄像头产品都曾曝出过类似的安全隐患,比如亚马逊的Ring摄像头曾被攻破,以“圣诞老人”的身份对用户进行恐吓威胁;智能安全摄像头Wyze以一种公开可访问的方式存储用户数据导致个人隐私数据泄露;360水滴摄像头直播事件至今也仍然让人记忆犹新。

其中的安全风险不容小觑,为严重漏洞,重者危及生命(图1)

二、WiFi芯片漏洞曝光,扫荡全球数十亿台设备

2020年2月,美国安全公司ESET的一名研究员发现了一个存在于Broadcom和Cypress WiFi芯片中的严重安全漏洞—Kr00k,利用该漏洞成功入侵之后,能够截取和分析设备发送的无线网络数据包。能让攻击者解密他周围空中传输的敏感数据。

Broadcom和Cypress是拥有全球市场份额较高的两大品牌,他们的WiFi芯片被广泛用于笔记本电脑、智能手机以及众多的物联网设备上。其中亚马逊的Echo和Kindle、苹果的iPhone和iPad、谷歌的Pixel、三星的Galaxy系列、树莓派、小米、华硕、华为等品牌产品中都有使用。因此,当Kr00K漏洞被发现时,就有专家保守估计全球会有高达十亿台设备受到该漏洞影响。

三、美国83%联网医疗成像设备存在安全隐患

2020年3月,美国安全公司派拓网络(Palo Alto Networks)旗下Unit 42 Threat安全团队发布《2020年物联网威胁报告》报告指出多达83%的联网医疗成像设备,如乳房X光造影机、MRI核磁共振成像机等等都存在安全隐患。这一比例明显高于2018年的56%。

派拓网络研究人员称,美国一家医院因其中一台X线机出现了异常流量。在短短几天的时间里,IT团队确定是Conficker蠕虫感染了医院网络上的医疗设备,包括另一台X线机、一台放射机、一台数字成像设备以及其他的设备。最终,该医院不得不让设备下线,给它们安装重要的安全补丁,慢慢将它们一个接一个地重新上线,导致该医院主要业务停摆长达一个星期之久。如果说企业的宕机意味着金钱损失,那么医院的宕机则意味着可能会有人因此而失去生命,因而更加的令人不安。

不难发现,近年来正在将医疗行业列入网络攻击的目标之一,全球的医疗行业的网络攻击事件也在逐年递增。医疗行业的数据库存在大量的个人隐私信息,但因为医疗行业的网络防护技术普遍不够成熟,因而容易受到各种网络攻击,配合2020年下半年全球的部分医院频繁遭遇勒索事件,这些都说明了医疗行业信息安全的防护亟需进一步优化,希望在2021年,这一情况能有所改观。

其中的安全风险不容小觑,为严重漏洞,重者危及生命(图2)

四、福特、大众被曝网络安全漏洞,可窃取隐私、操控车辆

2020年4月,Which?杂志联合网络安全公司Context Information Security发布报告称,安全研究人员能够随意进入大众Polo的信息娱乐,通过该不仅可以修改汽车的牵引力控制功能,还能获取车主的个人敏感信息,如电话、地理位置记录等,大众Polo的雷达模块也未能幸免,可以通过入侵来进一步篡改车辆碰撞预警。

其中的安全风险不容小觑,为严重漏洞,重者危及生命(图3)

五、商通信协议存在高危漏洞,可对用户数据拦截或者假冒

用户信息拦截、欺诈和冒名顶替这些危害会直接影响社会稳定和人们生活。在万物互联的时代,尤其是在5G时代,如果不在网络设计过程中加强网络安全建设,那么必将在后期为之付出更高昂的成本和代价。

六、交通信号灯曝严重漏洞,可人为操控引发交通瘫痪

2020年6月,德国一家安全公司研究员发现,全球最大信号灯控制器制造巨头SWARCO存在严重漏洞,可以利用这个漏洞交通信号灯,甚至随意切换红绿灯,造成交通瘫痪,乃至引发交通事故,并给人们的生命安全埋下隐患。

研究人员发现,SWARCO的CPU LS4000交通灯控制器具有一个可调试的开放端口,容易遭到利用。该漏洞利用难度低,但是其CVSS评分为10(为严重漏洞)由于缺乏加密,任何实现专有协议并了解网络SSID的无线电都可以访问网络。攻击者可以根据需要控制灯光,并根据需要更改颜色,如果由此而引发交通事故,又有可能会涉及到人身安全。

我们能看到,当这些公共设施数字化转型的加速,智慧城市建设也加快了脚步,如嵌入式控制器将来不仅运行交通信号灯,还会在照明,加热和冷却,电梯,门和影响很多人的许多其他自动上大面积推广和应用,一旦这些被恶意或者拒绝服务,将会对社会秩序造成重大的影响。

其中的安全风险不容小觑,为严重漏洞,重者危及生命(图4)

七、33个Bug驻留在四个开源TCP/IP堆栈中

2020年12日,美国物联网安全公司Forescout的安全研究人员披露了包括uIP、FNET、picoTCP和Nut/Net在内的四个开源TCP/IP库中的33个安全漏洞,这组漏洞被命名为,据Forescout的研究人员估计,目前发现的数百万个消费级和工业级设备受到漏洞影响,包括智能手机、游戏机、传感器、片上(SOC)板、HVAC、打印机、路由器、交换机、IP摄像机、自助结账亭、RFID资产跟踪器、证章读取器、不间断电源和各种工业设备,几乎能想到的所有联网/物联网设备都有可能中招。

这是物联网领域继Urgent / 11和Ripple20之后,又一次物联网漏洞大集合。同样,有越界写入、溢出漏洞或缺乏输入验证,从而导致内存损坏并使攻击者能够将设备置于无限大的状态,DNS缓存并提取任意数据。Forescout表示,可利用这33个漏洞发起远程代码执行(RCE)攻击以控制目标设备,拒绝服务(DoS)攻击以影响公司业务,信息泄漏(infoleak)攻击以获取潜在的敏感信息,DNS缓存中毒攻击以将设备指向恶意网站。

八、快递柜公司遭突袭,2732个储物格柜门大开

2020年,快递服务公司PickPoint确认,在莫斯科的2732个储物格出现了柜门大开的情况,从而使得用户包裹暴露在失窃风险中。PickPoint称,这是首起针对后端网关网络的攻击行为。

网络安全是一场永无休止的攻防对抗和斗争,在下一次安全事件爆发前,每个企业和个人都应该为之做好充足的准备。毕竟,没有任何人能够在风暴中置身事外。

本文相关词条概念解析:

漏洞

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说,比如在IntelPentium芯片中存在的逻辑错误,在Sendmail早期版本中的编程错误,在NFS协议中认证方式上的弱点,在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用,威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。。

延伸 · 推荐

危及生命安全,如何成功减肥,影响身体健康

你是如何变胖的?身上不断堆积脂肪,慢慢累积,最后变成胖子,变胖除了极少部分是疾病导致外,其他的胖子基本都是都是吃出来的,管不住嘴,也迈不开腿。肥胖危害是很大的,身材严重走形,臃肿发福,只能穿宽松衣服遮...

网友评论

提交评论

网站申明:本站图片仅为设计美化,与文章无关。如认为影响您的权益,请与我们联系。