连接到互联网的“事物”,其范围和数量都是令人震惊的,包括安全摄像头、烤箱、报警系统、婴儿监视器和汽车,它们都接入了互联网,可以进行远程监测和控制。

物联网设备(IoT物联网)通常包括传感器,交换机和日志记录功能,能够在互联网上收集和传输数据。

一些设备可以用于监控,利用互联网提供实时状态更新。一些设备,比如空调或者门锁,能够让你实现远程交互和控制。

大多数人对物联网设备的安全和隐私问题,理解有限。制造商被“蓝海”市场所吸引,希望称霸新兴市场,争相开发廉价设备,并为其加入新功能,但在安全或隐私方面的考虑较少。

所有的物联网设备的核心都是“嵌入式”固件。这是一种操作系统,该系统提供物联网设备的功能和控制权。

我们之前的互联网设备固件研究表明,即使是最大的宽带路由器制造商,也会经常使用不安全的、脆弱的固件。

物联网风险是由它们的高度“连通性”和“可接近性”所造成的。因此,除了宽带路由器以外,其他的物联网设备也需要加强保护,以防止更大范围的主被动威胁。

主动的物联网威胁

安全性差的智能设备会严重威胁到你的网络安全,无论是在家里还是在工作上。因为物联网设备通常连接到你的网络,它们所处的位置能够访问和监控其他网络设备。

这种连接可以允许攻击者使用被“黑”的物联网设备,绕过你的网络安全设置,对其他网络设备进行攻击——因为它是一种“内部”攻击。

许多网络连接设备使用着默认密码,安全控制很有限,所以谁都可以找到一个不安全的联网设备来访问它。最近,安全研究人员甚至在研究“黑”进一辆汽车,因为汽车的车辆识别号码(VIN)可预测,而且是其唯一的安全手段。
1

几十年来,不安全的默认网络配置一直在被黑客利用。十年前,当互联网连接(IP)的安全摄像头变得普遍的时候,攻击者会使用谷歌搜索相机管理界面中的关键字来进行攻击。
令人遗憾的是,十年后,设备的安全性并没有得到显著提高。现在有很多搜索引擎能够让人们很容易地找到一系列(可能被利用的)互联网连接设备。

被动威胁

与主动威胁相反,被动的威胁来自设备制造商收集和存储私人用户数据。因为物联网设备不仅依靠网络传感器,还依赖于制造商的服务器来进行数据处理和分析。

因此,物联网终端用户会不自觉地分享一切,从信用卡信息到个人隐私细节。最终,你的物联网设备可能会比你自己更加了解你的个人生活。

像Fitbit这样的设备,收集的数据甚至可以被用来评估保险索赔

随着生产商收集了越来越多的数据,我们都需要了解长期的风险和威胁。由第三方存储的不确定数据是应该重点关注的地方。而数据收集相关问题的关注,才刚刚开始。

私人用户数据高度集中于网络服务器,也在吸引着网络罪犯。通过攻击单一制造商的网络设备,黑客可以在一次攻击中获得数以百万计的个人隐私细节。

你可以做什么?

可悲的是,我们还在担心那些制造商。历史表明,他们的利益与我们的利益并不一致。他们的任务是把新的、令人兴奋的设备推向市场,并以尽可能得低价快速占领市场。

物联网设备往往缺乏透明度。大多数设备只能使用制造商自己的软件。然而,很少有资料会告诉用户它们会收集什么数据、如何存储和保护数据。

但是,如果你真的需要购买一些有新奇功能的物联网小设备,以下有几项功课你需要先做做:

·问问自己,物联网的好处是否能够超过它所带来的隐私和安全风险。
·找出设备制造商的名字。他们是知名品牌吗?他们是否为产品提供了良好的服务支持?
·他们有一个容易理解的隐私声明吗?他们将如何使用或保护你的数据?
·在可能的情况下,寻找一个开源平台,这样就不会将你锁定在一个特定的服务中。这样就能够将数据上传到您自己选择的服务器上,给您更多的灵活性和选择空间。

如果你已经买了一个物联网设备,试着在谷歌搜索关键词 “您的设备名称+是安全的?”,找出安全研究人员和其他用户都经历了什么。

我们所有人都需要了解自己所共享数据的性质。虽然物联网设备承诺了各种各样的好处,它们同时也引入了风险,危及我们的隐私和安全。


作者:: Patryk Szewczyk是埃迪斯科文大学安全学讲师,也是ECU安全研究所成员。

该文章与对话网联合发布

本文由达沃斯博客原创,转载请注明来源并附上原文链接

翻译:达沃斯博客翻译小组——陈达铿

以上内容仅代表作者个人观点。世界经济论坛博客是一个独立且中立的平台,旨在集合各方观点讨论全球、区域及行业性重要话题。