随着5G、AI等技术的快速发展,智能化、网络化逐渐成为家用设备的标签。其中以智能音箱为首的智能家居出现井喷式增长,智能家居步步走入每一个中国家庭。在享受智能化、信息化带来的生活便利的同时,庞大的终端数量、多样化的传输协议、海量的数据传输,使得设备入侵、生活隐私泄露等问题也随之不断涌现。
19年12月5日,泰尔实验室在其主办的2019移动安全和个人信息保护论坛中发布了《互联网设备-智能音箱安全白皮书》。白皮书提到了智能音箱十大安全风险,其中大部分和个人隐私泄露有关。无论是音箱厂商自身采集用户信息,或是不法分子通过破解系统非法获取个人隐私,皆是当今存在的问题。
360社区
不仅仅是智能音箱,因为物联网自身特性,其它类型设备或行业也存在个人隐私泄露问题。典型的物联网系统由“服务端、管控端(移动应用APP)、终端、通信端”组成,设备终端在收取到相关信息后,会通过通信链路(多数为无线)传送至服务端或应用端APP;在系统需要更新时,服务端也会将更新包下发至终端,同时应用端APP也会和服务器进行双向通信。由此可见,IoT系统每侧都有可能存在隐私泄露风险。
经过360北极星团队在智能门锁、智能摄像头、智能水电表、智能音箱等多个领域研究,总结出以下导致个人隐私泄漏的原因。
服务端:几乎所有的物联网系统会将关键信息保存在服务端,包括用户信息、设备终端或移动端APP采集数据、日常操作记录等。然而部分IoT设备厂商的服务端无身份验证或采用弱身份认证,黑客可构建非法链接,假冒身份访问服务端以获取服务端数据。
设备终端:某些物联网设备会将部门关键数据存储在设备终端,例如某些智能门禁系统,将用户人脸信息、账号信息等存储在终端本地,以方便信息认证。但是在将关键信息保持在本地的同时,未能采取有效的保护手段,导致本地数据易被获取。例如设备主板留有调试接口,或是固件不具备反编译、反调式功能,导致黑客可轻松拿到ROOT权限,进而获取保存在终端的信息。
管控端(移动应用APP):大多物联网厂商在设计时,重点在设备终端和服务端,往往忽略了移动应用的设计尤其安全侧的设计。与之相反的是,移动端作为终端和服务端沟通的桥梁,负责大量关键信息的传输。与此同时, APP破解技术时已非常成熟,因此APP端最容易成为黑客的攻击点,大部分隐私泄漏也因此而起。
通信端:物联网系统中通信,包括终端与管控端互联、终端与服务端互联、管控端与服务端互联,同时应用多种通信协议包括蓝牙、wifi、蜂窝网络等。大量通信过程部分或全部明文传输,导致数据易被窃取。根据北极星团队的测试结果发现,即便采用HTTPS加密传输方式,在获取某些权限后,依然可对数据包进行抓取、解密。
针对众多可能导致物联网系统隐私泄漏的风险,结合各个物联网行业的安全标准,360北极星团队提供“物联网系统安全渗透服务”,可基于检测工具对IoT系统软件软件进行快速检测,也可由渗透专家对IoT系统软硬件进行检测,深度挖掘可能存在的风险和漏洞。检测对象包括但不限于以下内容:
360社区
360北极星安全渗透服务提供专业渗透流程,事先针对性的制定检测范围和检测计划,实施阶段通过“人工+自动化检测工具”的方式快速且精准定位风险,根据检测结果给出最优的解决方案,协助客户解决问题;并且北极星团队会进行二次评估,对已修复的风险点以及可能出现的次生风险进行验证,保证物联网系统在上线前不再存在隐私泄漏风险。
北极星团队是360物联网(IOT)领域的顶尖攻防战队,团队由从事多年IOT系统安全渗透工作的攻击组,以及三六零天御专攻移动端安全防护的防御组组成,拥有对车联网、智能家居、智能城市、智能医疗、智能安控等众多IOT领域的攻防能力。
360社区
在对抗物联网威胁的道路中,三六零北极星会利用最先进的技术、最强的专家团队,建立最完整最权威的防御体系,应对不断变化的物联网安全风险,坚持“万物互联,指引未来”的使命,守护IoT物联网安全。
来源: 360企业安全 |
|
|
|
评论
直达楼层