信息來源：安全牛

未來很長一段時間，物聯網安全威脅都將是最大的安全威脅之一，物聯網安全支出在信息安全整體市場的占比也將快速提升，根據賽迪顧問《2019中國網絡安全發(fā)展白皮書》，2018年中國物聯網安全市場規(guī)模達到 88.2 億，增速高達 34.7%，明顯高于行業(yè)平均增速。

回顧 2019 年，設備安全依然是 2019 年物聯網安全的焦點問題：從智能家居設備中的隱私問題到僵尸網絡，乃至全球范圍內基于物聯網僵尸網絡發(fā)動的分布式拒絕服務 (DDoS) 攻擊。

以下是 2019 年值得關注的十大物聯網安全（系列）事件：

一、物聯網設備的系統(tǒng)性安全缺陷和隱私風險

2019 年 1 月份，安全研究人員發(fā)現沃爾瑪和百思買等大型零售商銷售的熱門聯網或智能家居設備普遍存在嚴重安全漏洞和隱私問題（上圖）。送檢的12種不同的物聯網設備均發(fā)現安全問題，包括缺少數據加密和缺少加密證書驗證。這些設備包括來自不同制造商的智能相機、智能插頭和安防產品，包括 iHome、Merckry、Momentum、Oco、Practecol、TP-Link、Vivitar、Wyze和Zmodo。這次安全 “體檢” 為整個物聯網行業(yè)敲響了警鐘。

二、酒店偷拍攝像頭引發(fā)全民恐慌

2019 年，國內影響最大物聯網安全事件非酒店偷拍莫屬。過去兩年間酒店偷拍事件層出不窮，從單體民宿、自如、Airbnb 到威斯汀酒店和皇冠假日酒店都不能幸免，甚至前合肥市公安局長都曾中招。對于有隱私潔癖的用戶來說，幾乎到了要背帳篷去酒店野營的地步了。

面對日益高漲的個人隱私保護需求，各路安全廠商和創(chuàng)業(yè)公司紛紛行動起來。

除了爆火的 Ping 之外，百度安全 app 和 360 手機衛(wèi)士都推出了 “偷拍檢測” 功能，但是 APP 端檢測的一個弊端是智能檢測同局域網 (WiFi) 段的偷拍攝像頭，對于獨立聯網和離線攝像頭無能為力，并不能做到百分之百的靠譜，充其量只能算是輔助措施，消費者需要對此有足夠清醒的認識，必要的時候人肉排查+超輕雙人帳篷依然是終極方案。

三、震驚全美的Ring智能門鈴和安防監(jiān)控頭丑聞

除了酒店，家庭監(jiān)控攝像頭也不省心。2019 年末，亞馬遜旗下的 Ring 的隱私問題和安全丑聞激增，并且仍在持續(xù)發(fā)酵中。

作為全球最火的家庭安防硬件產品之一—— Ring 曝出安全漏洞，黑客可以監(jiān)控用戶家庭，而且 Ring 還會暴露用戶的 WiFi 密碼。大量用戶投訴自己的私生活被黑客傳到網上，甚至還有黑客通過 Ring 攝像頭跟搖籃里的嬰兒打招呼。

更糟糕的是，Ring 的隱私政策也成了眾矢之的。Ring 承認與美國 600 多個警察部門合作，提供用戶視頻。11 月份一些美國參議員要求亞馬遜披露如何確保 Ring 家庭攝像頭的安全性，以及都有誰可以訪問這些錄像。

四、安全漏洞迭出，智能門鎖遭遇安全危機

研究人員在智能門鎖 Smart Deadbolts 中發(fā)現了一種流行的智能鎖漏洞，攻擊者可以利用這些漏洞遠程打開門并闖入房屋。智能鎖的制造商 Hickory Hardware 已將補丁程序部署到了 Google Play 商店和 Apple App Store 上受影響的應用程序。這只是 2019 年眾多智能門鎖安全漏洞的冰山一角。

6 月，研究人員警告說，U-tec 制造的智能門鎖 Ultraloq 出現故障，攻擊者可以追蹤該設備的使用地點并完全控制該鎖。

7 月，兩位安全研究人員發(fā)現了 ZipaMicro 智能家居三個安全漏洞，如果把它們連接在一起就可能會被濫用，而結果就是導致用戶家的智能門鎖會被輕易打開。（下圖）

國內方面，2018 年國內智能門鎖品牌已超過 3500 個，2019 年市場規(guī)模有望突破 200 億元（是的，你沒看錯，一個小小的智能門鎖價值堪比全國信息安全市場的半壁江山了）。雖然經歷年初央視曝光 “小黑盒”、APP 遠程控制漏洞，但是國內智能門鎖硬件、軟件、云端等各個攻擊面的安全問題并未得到更多用戶的重視。相關的安全開發(fā)、安全測試檢測（包括白帽子漏洞發(fā)掘）、技術標準和規(guī)范相對滯后。

一個比較亮眼的進步是 12 月 20 日騰訊發(fā)布了《騰訊智能門鎖安全技術要求》，從智能門鎖的終端、通信及云平臺三個層面出發(fā)，闡述系統(tǒng)安全等十五項安全技術要求?！兑蟆分羞€構建了智能門鎖安全等級體系，為業(yè)內廠商、機構和用戶對智能門鎖安全水平的測評提供了一整套操作流程標準。但是考慮到騰訊也是智能家居和智能門鎖市場中的 “玩家”，由騰訊制定的安全標準能否得到廣大智能門鎖廠商的認同和支持，目前還有待觀察。

五、導致物聯網設備大規(guī)?！白兇u”的惡意軟件

6 月份，一名 14 歲的黑客使用一種名為 Silex 的惡意軟件來欺騙多達 4,000 個不安全的物聯網設備，然后突然關閉了其命令和控制服務器。Silex 將不安全的 IoT 設備作為攻擊目標，使其癱瘓（類似2017年的 BrickerBot 惡意軟件一樣）。Silex 專門針對運行 Linux 或 Unix 操作系統(tǒng)，采用默認或者已知密碼的的物聯網 (IoT) 設備，破壞設備的磁盤分區(qū)，刪除其防火墻和網絡配置，并最終使其完全 “變磚”。

六、200萬物聯網攝像頭“裸奔”

聯網攝像頭是蓬勃發(fā)展的智慧城市的關鍵組件，同時其安全問題的嚴峻性也日益凸顯。

今年 4 月份，安全研究者披露了可能是迄今最為嚴重的物聯網攝像頭安全漏洞，受影響監(jiān)控攝像頭數量超過 200 萬個，來自包括 HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight 和 HVCAM 等多個攝像頭廠商。

這些產品都使用了某國內廠商開發(fā)的名為 iLnkP2P 的 P2P 通訊組件。該組件包含兩個漏洞，可能使遠程黑客能夠找到并接管設備中使用的易受攻擊的攝像機并監(jiān)視其所有者。

此外，七月物聯網攝像頭制造商 Swann 修補了其聯網攝像頭中的一個漏洞，該漏洞使遠程攻擊者可以訪問其視頻源。9 月，多達 80 萬個基于 IP 的閉路電視攝像機暴露在零日漏洞攻擊之下，該漏洞可能使黑客能夠訪問監(jiān)視攝像機，監(jiān)視和操縱視頻源或植入惡意軟件。

七、智能玩具不再“好玩”

聯網智能玩具仍然不安全。去年 12 月，安全研究人員發(fā)現，各種兒童專用的聯網玩具存在很多先天性的安全問題，例如缺少設備配對的身份驗證，以及聯網帳戶缺乏加密。在 2019 年美國黑帽大會上，研究人員展示了 LeapPad Ultimate 兒童教育平板電腦的安全檢測結果，表示該平板電腦存在許多安全問題，包括允許不良行為者跟蹤設備，向孩子發(fā)送消息或發(fā)起中間人攻擊。

Checkmarx 安全研究主管 Erez Yalon 告訴 Threatpost 說：兒童智能產品制造商需要意識到目標受眾沒有疑心，天真，更容易錯過攻擊的簡單警告信號。此外，侵犯隱私權給兒童帶來的后果可能是災難性的。因此，一般來說，制造商需要采用最嚴格的標準。

LeapPad 平板電腦的一個應用程序 Pet Chat（寵物聊天）也存在安全問題。Pet Chat 應用程序創(chuàng)建一個 Wi-Fi Ad-Hoc 連接，并使用簡單的 SSID “Pet Chat” 廣播到附近的其他兼容設備。研究人員能夠使用名為 WiGLE 的工具——一個收集不同無線熱點信息的網站，在全球范圍內將位置和其他信息存儲在中央數據庫中，以識別平板電腦。

這意味著 “任何人都可以使用 Pet Chat 通過在公共 Wi-Fi 上找到它們，或跟蹤其設備的 MAC 地址來識別 LeapPads 的位置。

八、兒童智能手表安全問題爆發(fā)

與其他物聯網和智能設備類似，兒童智能手表也存在先天性的安全缺陷，例如可以暴露兒童的位置數據和個人信息，從而為各種隱患制造伏筆。

2019 年因安全問題被曝光的智能手表產品包括中國的 M2 智能手表，該智能手表存在的缺陷可能會泄露用戶的個人和 GPS 數據，并允許攻擊者監(jiān)聽和操縱對話。此外安全研究人員還發(fā)現 Smartwatch TicTocTrack 存在大量安全問題，這些問題使黑客能夠跟蹤和呼叫孩子。

更糟糕的是，與其他智能硬件產品類似，智能手表的安全缺陷很有可能是全行業(yè)的系統(tǒng)性風險。

九、智能音箱：大熱必死

在亞馬遜、谷歌、阿里、百度等各路人工智能廠商數年風風火火的暖場演出后，2019年智能音箱市場終于迎來總爆發(fā)。

但在安全問題上，無論是特斯拉電動車還是智能音箱，一旦被信息安全界關注，終究難逃“大熱必死“的魔咒。

安全研究人員調查發(fā)現亞馬遜、谷歌和蘋果的智能音箱存在嚴重的隱私侵犯問題。一份安全報告甚至披露亞馬遜雇傭了數千名審計員來收聽Echo用戶的語音記錄。蘋果的Siri和Google Home也由于類似的原因而受到抨擊，有報道稱Google員工可以識別和捕獲家庭暴力或機密商務電話的聲音。

提到智能音箱的監(jiān)聽問題，安全牛就不得不提一下 Bose 降噪耳機，這款企業(yè)高管和商務人士偏愛的差旅神器，也曾因為竊聽用戶隱私被起訴，指控 Bose 一直在通過 Bose Connect 應用監(jiān)視用戶，并監(jiān)聽用戶所有的對話和播放的內容。

總之，音響設備的安全問題和隱私威脅，往往比我們想象的更為可怕。

十、物聯網僵尸網絡野蠻生長

自從 2014 年從冰箱上發(fā)動首個物聯網僵尸網絡攻擊后，臭名昭著的 Mirai IoT 物聯網僵尸網絡在 2016 年一戰(zhàn)成名，通過創(chuàng)記錄的 DDoS 攻擊沖垮了包括 Twitter、Netflix 和 Github 等多家大型互聯網站點，導致 “半個美國掉線”，甚至公有云服務商 Akamai 也迫于 Mirai 的淫威停止了對爆料獨立安全博客 KrebsonSecurity 的庇護。

當時，信息安全界和人權組織就曾指出趨勢：物聯網僵尸網絡將取代集權國家成為互聯網言論的終極審查者?；谖锫摼W僵尸網絡的超大規(guī)模 DDoS 攻擊，已經展現了自己在言論審查方面的 “威權”，已經遠超任何一個國家政府的審查能力。甚至在美國這樣一個標榜言論自由的國家，沒有人能夠保護 Krebs 這樣一個享有盛譽的安全技術博客。

2019 年，恐怖的 Mirai 僵尸網絡繼續(xù)保持高速增長，同時也改變了其 TTP（戰(zhàn)術、技術和程序）。據研究人員分析，Mirai 的活動在 2018 年第一季度至 2019 年第一季度之間幾乎翻了一番。安全分析人員指出，在過去的一年中，Mirai 擴展了其技術，以瞄準更多的處理器和更多的企業(yè)級硬件。