随着IoT技术的演进与下沉,万物互联的时代正在加速到来。数据显示,目前全球物联网设备数量已达到70亿,预计到2020年,活跃的物联网设备数量将增加到100亿。与此同时,IoT技术对经济的影响与日剧增,因IoT漏洞产生的恶性事件严重影响行业的发展信心,超过三成的企业表示物联网系统正成企业安全面临的重大挑战。
针对IoT设备安全存在的管理难、检测难问题,腾讯安全科恩实验室创造性地提出了漏洞与安全风险模式相匹配的模型,并不断优化,推出自研IoT固件安全自动化检测系统—IoTSec。通过IoTSec对2018年市场占有率较高的486款最新版本IoT设备固件进行检测,腾讯安全科恩实验室对外发布《2018年IoT安全白皮书》(以下简称《白皮书》),对影响IoT安全的风险行为进行了详细分析,以期为提升IoT设备的安全性提供参考。
IoT安全“牵一发动全身”,智能家居设备风险最高
近年来,智能家居市场发展十分迅猛,智能摄像头、智能音箱、智能门锁等智能家居设备已进入越来越多的家庭。《白皮书》显示,本次IoT设备样本检测共发现16508个安全风险,其中智能家居设备存在的安全风险数量最多。单个设备平均安全风险数量按照类别划分,由高到低为智能音箱、摄像头、路由器/交换机、无人机、智能门锁。
安全风险占比类型较多的是拒绝服务、缓冲区溢出、内存破坏、权限提升等。利用这些已存在的IoT设备安全风险,数千万的IoT设备会受到影响,轻则正常功能被阻塞,无法响应用户请求,重则被不法分子利用来精心构建完整攻击链路,获取更高系统权限,将IoT设备变成公开的密码本和行走的感染源。除了单个点对点的攻击形态,构建传染性的僵尸网络会把物联网万物互联的特性发挥到极致,影响更大量级的群体。
固件公开安全风险占比达94%,或沦为不法攻击突破口
IoT固件安全风险类型主要分为公开安全风险(Nday)和未公开安全风险(0day),其中公开安全风险占绝大部分,这与IoT厂商在开发生命周期中忽略公开漏洞的排查和修复密切相关。公开安全风险信息的碎片化为检测增加了阻碍,但其公开属性却为攻击带来了便利。仅通过分析固件中存在的第三方库版本信息并查询相应版本漏洞库信息,就能获得潜在的固件安全风险。除此之外,定制化的代码开发工程也不可避免地引入新的未公开漏洞。
从安全威胁的程度来看,严重以及高危的安全风险占比超过了一半。在时间、精力有限的情况下,严重和高危的安全风险应该优先被处理。
《白皮书》还对公开安全风险(Nday)、未公开安全风险(0day)、开放的攻击面和不安全的配置四个层面的安全风险数据进行了详细分析,指出IoT开发厂商直接调用第三方库,并且没有针对第三方库代码开展漏洞审查,是引发IoT安全事件的主要原因。此外,开发阶段人员安全意识不足、安全缓解措施待开发,以及使用弱口令、硬编码密钥,开启SSH服务和FTP服务等问题,都极易引发严重的IoT安全事件。
《白皮书》最后提醒广大IoT开发厂商,在整个IoT设备生产开发周期中,都要做到严格、合理、规范的安全开发管理,建议使用IoTSec等安全检测工具,辅助发现安全威胁,精准定位安全隐患,避免造成不必要的经济损失。IoTSec支持跨平台与系统架构,具备自动匹配固件格式并解析、高效精准定位固件安全风险的特性,且误报率仅为10%±5%。目前,该产品应用范围已涵盖智能可穿戴设备、智能IoT家用设备、智能网联汽车以及工业互联网等多个领域,能够为帮助企业深化数字化转型,加速拥抱产业互联网提供卓越的安全解决方案。