干貨:物聯網領域十大安全事故
網絡已經成為人們生活中不可或缺的一部分,而且伴隨著“互聯網+”以及物聯網的快速發展也成為人們創業創新的一個有力工具,然而現在的網絡安全也越來越被人所關心。近年來越來越多的物品被貼上了“智能”標簽,成為了聯網設備。這給人們的生活帶來許多便利,但是,這些設備的安全問題常常被人忽視,那么我們來回顧一下在物聯網領域里的十大安全事件:
一、2007年,時任美國副總統迪克·切尼心臟病發作,被懷疑緣于他的心臟除顫器無線連接功能遭暗殺者利用。這被視為物聯網攻擊造成人身傷害的可能案例之一。
二、2013年,美國知名黑客薩米·卡姆卡爾在“YouTube”網站發布一段視頻,展示他如何用一項名為SkyJack的技術,使一架基本款民用無人機能夠定位并控制飛在附近的其他無人機,組成一個由一部智能手機操控的“僵尸無人機戰隊”。
三、2014年西班牙三大主要供電服務商超過30%的智能電表被檢測發現存在嚴重的安全漏洞,入侵者可以利用該漏洞進行電費欺詐,甚至直接關閉電路系統,對社會造成很大影響。
四、2016年10月,一場超大規模的DDoS攻擊整垮了大半個美國互聯網。此次發動網絡攻擊的黑客,利用了一個由150萬臺設備組成的“僵尸網絡”,大部分設備為中國廠商生產的網絡攝像頭。
五、2017年3月智能玩具泄露200萬父母與兒童語音信息:Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數據泄露,敏感客戶數據庫受到惡意入侵。此次事故泄露信息包括玩具錄音、MongoDB泄露的數據、220萬賬戶語音信息、數據庫勒索信息等。這些數據被保存在一套未經密碼保護的公開數據庫當中。
六、2017年11月智能家居設備存在漏洞,吸塵器秒變監視器Check Point研究人員表示LG智能家居設備存在漏洞,黑客可以利用該漏洞完全控制一個用戶賬戶,然后遠程劫持LG SmartThinQ家用電器,包括冰箱,干衣機,洗碗機,微波爐以及吸塵機器人,并將它們轉換為實時監控設備。
七、2018年6月:智慧城市漏洞多達 17 個,水庫恐被一夜清空:羅馬不是一日建成的,“毀”掉一座智慧城市卻不困難。IBM 研究團隊發現,Libelium、Echelon和Battelle 三種智慧城市主要系統中存在多達 17 個安全漏洞,包括默認密碼、可繞過身份驗證、數據隱碼等等,攻擊者利用這些漏洞能夠控制報警系統、篡改傳感器數據,輕而易舉左右整個城市交通。
八、2018年9月:“學院派”黑客利用門鎖漏洞,輕松盜走特斯拉:比利時 KU Leuven 大學研究人員發現,只需要大約價值 600 美元的無線電和樹莓派等設備就能開走一輛特斯拉。同樣的攻擊方法還能“竊取”邁凱倫和 Karma 汽車,以及凱旋摩托車,因為同特斯拉一樣,這些都使用了被發現存在安全缺陷的 Pektron 遙控鑰匙系統。
九、2018年11月:亞馬遜公布物聯網操作系統漏洞:亞馬遜公布物聯網操作系統 FreeRTOS 以及 AWS 連接模塊的 13 個安全漏洞,這些漏洞可能導致入侵者破壞設備,泄露內存中的內容和遠程運行代碼,讓攻擊者獲得設備完全的控制權。FreeRTOS 是專門為單片機設計的開源操作系統,已經被應用在包括汽車、飛機及醫療設備等 40 余種硬件平臺。
十、2018年國家藥監局發布大批醫療器械企業主動召回公告,其中美敦力、GE、雅培等大牌均在列。召回設備包括磁共振成像系統、麻醉劑、麻醉系統、人工心肺機等。公告顯示召回共涉及設備產品超過 24 萬,主要原因在于軟件安全性不足。早在2016年底,白帽黑客發現可以遠程控制美敦力心臟起搏器;2017年,研究者發現網購的起搏器存在8000個程序漏洞,其中包括來自四大主流制造商的產品,極易遭受黑客攻擊。
黑客利用物聯網設備并不是新鮮事情。黑客們的手法也正在變得越來越成熟,物聯網設備制造商應該在設計階段就重視安全問題。大量的安全問題引發后,使得物聯網安全問題再次引發熱議,如何保障物聯網領域的安全性問題將是人類慢慢探索的“專項任務” 之一。
