首页 D1Net 安全 病毒 防火墙

物联网应用程序漏洞使设备易受攻击

时间:2019-02-11 栏目:其他 作者:D1Net 安全 病毒 防火墙

企业和消费者有权了解物联网(IoT)设备的安全状况,并且,制造商应该对此负责。

点击上方“蓝色字体”,选择 “设为星标

关键讯息,D1时间送达!



企业和消费者有权了解物联网(IoT)设备的安全状况,并且,制造商应该对此负责。 



这是Barracuda Networks安全研究人员的观点,近日他们对一款联网安全摄像头进行了研究,借以说明日益严峻的物联网设备安全威胁。 


他们的研究表明,网络以及物联网设备移动应用程序中的漏洞可被利用来窃取凭证并感染相关设备。 


在没有与设备本身直接连接的情况下,该研究团队能够识别该安全摄像头中的Web应用程序和移动应用程序生态系统中的多个漏洞。


这些研究人员表示,这种威胁可能会影响其他类型的物联网设备,因为它利用了设备与云通信的方式。 


出于这个原因,Barracuda认为我们应该采用与机动车安全评级相同的方式,不断对物联网产品的安全状况评分,以便企业和消费者在选择产品时做出明智的决策。


研究人员指出,虽然针对物联网设备的安全隐患,制造商已经作出改进,但仍然存在漏洞。


特别是Barracuda实验室团队展示的物联网凭证感染威胁,其中攻击者可以利用某些物联网设备使用的Web应用程序和移动应用程序中的漏洞获取凭证,然后他们可利用这些凭据来查看视频、设置/接收/删除警报、从云存储中删除已保存的视频剪辑,以及读取帐户信息。


攻击者还可以利用凭证将自己的固件更新推送到该设备,更改其功能并利用受感染的设备攻击同一网络上的其他设备。


这些研究人员发现的主要漏洞包括:


移动应用程序忽略服务器证书有效性;

 Web应用程序中可能存在跨站脚本(XSS)攻击;

 云服务器中可能出现文件目录遍历; 

用户控制设备更新链接; 设备更新没有签名; 

设备忽略服务器证书有效性。 


研究人员警告说,如果攻击者可通过受感染或恶意网络拦截发送到移动应用程序的流量,他们便可轻松获取用户密码。


研究人员强调,这种漏洞并不在于产品,而是在于流程、技能以及开发人员的安全意识。他们表示,随着物联网设备的访问和访问控制转移到云服务,漏洞也会随之而来,这也会使Barracuda实验室团队发现的攻击类型成为可能。


 研究人员指出,物联网产品和服务的供应商应该全方位保护运行这些设备的应用程序,其中包括分布在办公室、家庭和学校中的传感器,避免它们使其攻击者的潜在切入点。


然而,物联网供应商需要部署的最重要的保护措施之一是Web应用防火墙,它旨在保护服务器免受7层网络(应用层)的HTTP流量的影响。制造商还需要加强抵御网络层攻击和网络钓鱼。 


另外,云安全也很重要,因为它可提供对物联网应用程序及其运行的基础架构的可见性、保护和补救措施。研究人员说,横向移动暴露的可能性很大且很复杂,因此这里的关键是采取适当的安全预防措施。 


研究人员建议,在购买物联网设备时,企业和消费者应该考虑安全性,以及便利性和价格。他们建议:


研究设备制造商


在物联网设备制造商中,很少制造商了解软件安全性。他们大多数是擅长制造联网的实体产品的现有公司,或者试图尽快将设备推向市场的初创公司。研究人员说,对于这两种公司,通常都会忽略适当的软件和网络安全措施。


寻找供应商其他设备中的现有漏洞


研究人员表示,如果一款设备有漏洞,则同一家公司具有类似功能的其他设备也可能易受到攻击。这就是说,在未来,拥有安全设备制造历史的供应商可能会构建安全设备。


他们指出,遗憾的是,有关物联网设备安全状况的可用信息量非常低。他们说:“理想情况下,我们需要建立物联网产品安全评级的世界。”


对于物联网对企业的安全风险,数字安全公司Gemalto本月早些时候发布的一项调查显示,只有48%的欧洲公司可以检测到他们的联网设备何时遭到攻击。而在英国,这一数字降至42%,欧洲第二低,仅次于法国,法国只有36%的公司表示他们可以检测到物联网设备是否遭受攻击。


Gemalto公司数据保护首席技术官Jason Hart在评论调查结果时表示,由于没有一致的监管指导该行业,企业面临的威胁和漏洞不断增加,这不足为奇。


“除非政府现在介入以帮助行业避免失去控制权,否则这只会继续下去,”他补充说,尽管英国新的Code of Practice是确保物联网安全的良好开端,但只有当强制执行且所有企业都必须遵守该法规才会真正有效。 


2018年11月,在布鲁塞尔举行的EEMA ISSE 2018网络安全会议上,物联网安全研究员Ken Munro还呼吁政府采取行动。


和Hart一样,他说英国Code of Practice是一个良好的开端,但Munro认为还有很长的路要走,他希望看到一些基本的监管。


(来源:TechTarget中国)


如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿 投稿邮箱:editor@d1net.com


点击蓝色字体关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域(云计算,数据中心,大数据,CIO, 企业通信 ,企业应用软件,网络数通,信息安全,服务器,存储,AI人工智能,物联网智慧城市等)的子公众号。

企业网D1net已推出企业应用商店(www.enappstore.com),面向企业级软件,SaaS等提供商,提供陈列,点评功能,不参与交易和交付。现可免费入驻,入驻后,可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。
扫描下方“二维”即可注册,注册后读者可以点评,厂商可免费入

标签: 攻击漏洞设备联网应用程序

相关文章

微信热点文章