目前,大量的事实证明,物联网设备在遭受网络攻击方面存在许多问题。F-Secure的一份新调查报告也强调了这一点,该报告发现针对物联网的威胁和攻击次数持续在增加,但大多数仍依赖于众所周知的安全漏洞,例如未修补的软件和较弱的密码等等。
F-Secure Labs观察到的物联网威胁数量在2018年翻了一番,在一年内从19个增加到38个。
但是,其中许多威胁仍然使用可预测的已知技术来破坏设备。针对弱/默认凭据,未修补漏洞或两者的威胁占到了观察到的威胁的87%。
在2018年上半年,国际刑警组织和FBI都警告消费者,物联网设备(如路由器,摄像机和DVR)需要以我们保护PC和移动设备的方式得到保护。
十多年来,物联网威胁一直瞄准弱密码,很多制造商还没有重视。 “弱密码,已知的漏洞,很少或永远得不到更新 “F-Secure运营商顾问Tom Gaffney表示。
“像谷歌和亚马逊这样的大公司在他们的智能家居产品方面取得了长足进步,得到了大量支持和道德黑客的帮助,比如我们自己的Mark Barnes,他们在2017年执行了第一次关于Echo破解的概念验证,” F-Secure运营商顾问Tom Gaffney表示。 “但多年来,制造商一直在发布产品而不考虑安全性,因此很多'智能'设备容易受到相对简单的攻击。”
物联网威胁始于2014年左右开始出现的Gafgyt,这是一种针对各种物联网设备(包括CCTV和DVR)的威胁。 2016年10月,由Gafgyt代码发展而来的Mirai,当其在庞大的僵尸网络发起史上最大的分布式拒绝服务攻击之一时,从而成为全球臭名昭著的第一IoT恶意软件。
自2016年以来,Mirai的代码已经公开用于研究和IoC开发目的。最初,它使用了61种独特的感染凭证组合。在三个月内,这个数字已达到近500个。而且它作为恶意软件家族非常普遍。在2018年,F-Secure的蜜罐服务器检测到大约59%的攻击流量是针对暴露的Telnet端口,而Mirai试图将其作为攻击背后的主要罪魁祸首。
而在之前出现的许多物联网威胁,主要集中在用于挖掘加密货币。其中许多威胁都是基于泄露的Mirai恶意软件源代码构建的,该代码劫持了Linux设备,使用计算能力作为僵尸机器僵尸网络的一部分,经常执行拒绝服务(DDoS)攻击。
“大多数设备供应商都会为它们在智能相机,智能设备和其它物联网设备中使用的芯片组授权软件开发套件。这就是漏洞和其它问题的来源,”F-Secure Labs首席研究员Jarno Niemela说。 “设备制造商商必须从这些供应商那里开始要求更多的安全性,并且还准备好在可用时发布更新和补丁。”
“智能家居”都有自己的生态系统。一台设备的安全性可能会影响其它设备的可靠性。
尽管大量采用,消费者仍然不断表达关于将越来越多的家庭连接到互联网的隐私问题。研究也表明,越来越多的消费者了解物联网,他们所关注的问题越多。