物联网设备的数量呈指数级增长,但随着增长,保护这些设备的难度也越来越大。我们还没有找到解决物联网安全的灵丹妙药,消费者和企业都在担心实施物联网解决方案或购买智能锁等消费设备的潜在风险。
确实该担心!我们已经看到了很多非常可怕黑客入侵物联网设备的例子,从用于儿童的智能家居产品到互联网内容的删除等。下面是个臭名昭着的物联网黑客,他们告诉我们未来在设备中构建安全性的重要性。
Mirai DDoS僵尸网络
可以说是最臭名昭著的物联网僵尸网络攻击,Mirai DDoS (分布式拒绝服务攻击)僵尸网络成功地减缓或完全停止了几乎整个东海岸的互联网。科技公司Dyn遭受的攻击最严重,直接损失就超过了.亿美元。
僵尸网络能够大范围扫描整个互联网,寻找开放的Telnet端口,并使用组用户名/密码组合登录这些端口,这些组合经常被用作设备的默认登录信息。利用这一策略,罗格斯大学的学生黑客聚集了僵尸网络大军。
值得庆幸的是,僵尸网络并没有被恶意部署,Mirai DDoS幕后三名真凶的初始动机是攻击在线游戏《我的世界》(Minecraft)的服务器。但是它显示了物联网设备中的漏洞如果被访问会有多大潜在危险。
吉普车和虚拟劫车
早在年,两名黑客,米勒和瓦拉萨克,在一次完全虚拟的劫车中成功控制了一辆吉普切诺基。别担心,司机在车里面展示了汽车安全措施的重要性。
在发现车内有漏洞后,黑客控制了通风口、收音机、挡风玻璃刮水器等等,所有这些都是在司机开车时发生的。很快,米勒和瓦拉萨克的脸出现在汽车数字显示屏上,司机失去了对汽车刹车、油门和转向的控制。最终,两名黑客让车辆完全停了下来。
两人公布了一份最容易被黑客攻击的汽车完整清单,促使汽车制造商修补一些软件,并鼓励用户经常更新他们的系统。
Owlet婴儿无线心脏监测仪
owlet是婴儿穿在袜子里的心跳监测传感器。该设备将心跳数据无线传输到附近集线器中,如果有异常情况,可以向父母智能手机发送警报信息。
看起来它会让你非常安心。然而,人们发现连接WiFi集线器和设备的网络完全没有加密,任何人不需要身份验证就可以访问心脏监测仪。这意味着,如果有人处在一定范围内,他们就可以入侵系统,并阻止设备向父母发送警报信息。太可怕了!
魔鬼常春藤和Rube-Goldberg攻击
今年,《连线》报道了一个日益流行的,精心设计的物联网黑客,被称为Rube Goldberg攻击。它使用了一个叫做Devils Ivy(魔鬼常春藤)的漏洞,原因是跟常春藤这种植物一样,该漏洞是很难被“杀死”的,而且正在迅速蔓延开来。其工作方式如下:
▲攻击首先针对的是安全摄像头,该安全摄像头容易受到被称为Devils Ivy(魔鬼常春藤)的物联网病毒攻击。
▲攻击者在公共互联网上查找易受攻击的摄像头来发动攻击。
▲攻击者利用魔鬼常青藤漏洞对摄像头进行出厂重置并接管root 访问权限,最终攻击者完全控制它们。
利用IP摄像头可以让黑客完全访问公司大楼内的各种视频源,例如,他们可以获取员工访问/安全代码、安保人员的日程安排等等。
真的很糟糕,对吧?物联网安全公司Senrio的研究人员公开展示了这种连锁攻击,希望提高人们对解决物联网安全危机的紧迫认识。并称,在全球范围内有数百万台联网设备可能会因一个普遍存在的漏洞而面临被黑风险。
CloudPets智能玩具
一个连网智能玩具,可以让家长和孩子们互相发送音频信息,它可以通过蓝牙使用语音录音和在线APP,这听起来像是一个非常不错的好东西。但是cloudspets智能玩具还有另一个意想不到的惊喜,父母的电子邮件和密码以及语音记录容易被黑客窃取。
研究Cloudspets智能玩具工作原理的安全研究员Paul Stone说:“任何在米范围内的人只要用普通智能手机就可以连接到它,连接后可以发送和接收命令和数据。”
一名用户拍摄了一段被劫持的毛绒绒智能玩具的视频,以展示它会变得多么令人毛骨悚然。
发现这一漏洞的特洛伊亨特表示,有明确证据表明,网络犯罪分子至少两次持有该数据库进行敲诈索取赎金,要求该公司支付金钱以换取数据的安全回报。
总结
在购买连网产品之前,你需要仔细研究,尤其是那些生活在你家中或者你孩子与之互动的产品。如果你正在开发一个连网产品,那么请将以上内容成为糟糕安全状况的一个经验教训吧。