騰訊安全科恩實(shí)驗(yàn)室發(fā)布《2018年IoT安全白皮書》(以下簡(jiǎn)稱“白皮書”)指出，在486款最新版本IoT(物聯(lián)網(wǎng))設(shè)備固件中，共發(fā)現(xiàn)16508個(gè)安全風(fēng)險(xiǎn)，其中智能家居設(shè)備存在的安全風(fēng)險(xiǎn)數(shù)量最多。

平均每款被檢測(cè)IoT設(shè)備含33.96個(gè)風(fēng)險(xiǎn)

隨著物聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展，越來(lái)越多的物聯(lián)網(wǎng)設(shè)備被應(yīng)用在人們的生產(chǎn)生活中。

白皮書數(shù)據(jù)顯示，目前全球物聯(lián)網(wǎng)設(shè)備數(shù)量已達(dá)到70億，預(yù)計(jì)到2020年，活躍的物聯(lián)網(wǎng)設(shè)備數(shù)量將增加到100億。不過(guò)，物聯(lián)網(wǎng)安全問(wèn)題也日益突出，引發(fā)社會(huì)廣泛關(guān)注。

對(duì)此，騰訊安全科恩實(shí)驗(yàn)室對(duì)2018年市場(chǎng)占有率較高的486款最新版本IoT設(shè)備固件進(jìn)行檢測(cè)，共發(fā)現(xiàn)16508個(gè)安全風(fēng)險(xiǎn)，平均每一款被檢測(cè)的IoT設(shè)備包含33.96個(gè)安全風(fēng)險(xiǎn)，其中智能家居設(shè)備存在的安全風(fēng)險(xiǎn)數(shù)量最多。

固件漏洞風(fēng)險(xiǎn)類型分布圖

白皮書指出，單個(gè)設(shè)備平均安全風(fēng)險(xiǎn)數(shù)量從高到低分別為智能音箱、攝像頭、路由器／交換機(jī)、無(wú)人機(jī)、智能門鎖。如，攝像頭屢屢被曝出針對(duì)圖像數(shù)據(jù)的隱私侵犯以及未授權(quán)入侵等安全問(wèn)題。

“利用這些已存在的IoT設(shè)備安全風(fēng)險(xiǎn)，數(shù)千萬(wàn)的IoT設(shè)備會(huì)受到影響，輕則正常功能被阻塞，無(wú)法響應(yīng)用戶請(qǐng)求，重則被不法分子利用來(lái)精心構(gòu)建完整攻擊鏈路”，白皮書強(qiáng)調(diào)，不法分子獲取更高系統(tǒng)權(quán)限，可將IoT設(shè)備變成公開(kāi)的密碼本和行走的感染源。

第三方庫(kù)的嚴(yán)重、高危風(fēng)險(xiǎn)形勢(shì)嚴(yán)峻

據(jù)白皮書介紹，IoT固件安全風(fēng)險(xiǎn)類型主要分為公開(kāi)安全風(fēng)險(xiǎn)(Nday)和未公開(kāi)安全風(fēng)險(xiǎn)(0day)，其中公開(kāi)安全風(fēng)險(xiǎn)占絕大部分，這與IoT廠商在開(kāi)發(fā)生命周期中忽略公開(kāi)漏洞的排查和修復(fù)密切相關(guān)。

近年來(lái)，由于第三方庫(kù)安全問(wèn)題引發(fā)的IoT安全事件不容忽視。簡(jiǎn)單來(lái)說(shuō)，第三方庫(kù)也就是別人提供的代碼庫(kù)?；诠?jié)約開(kāi)發(fā)成本、提高開(kāi)發(fā)效率、縮短開(kāi)發(fā)周期的目的，不少IoT開(kāi)發(fā)商會(huì)直接使用第三方庫(kù)。但是，一些IoT開(kāi)發(fā)商不重視第三方庫(kù)的安全性，缺失了針對(duì)第三方庫(kù)代碼的漏洞審查環(huán)節(jié)。

安全風(fēng)險(xiǎn)等級(jí)分布圖

統(tǒng)計(jì)顯示，第三方庫(kù)在IoT固體安全方面造成的安全風(fēng)險(xiǎn)數(shù)量甚至比App上的情況更為嚴(yán)重。在本次檢測(cè)統(tǒng)計(jì)中，由第三方庫(kù)導(dǎo)致的Nday安全風(fēng)險(xiǎn)占比超過(guò)發(fā)現(xiàn)總量的90%。第三方庫(kù)安全風(fēng)險(xiǎn)按等級(jí)劃分，目前嚴(yán)重、高危比例接近50%。

值得注意的是，第三方庫(kù)在版本上的滯后非常明顯。白皮書強(qiáng)調(diào)，第三方庫(kù)在版本迭代和更新頻率上各不相同，平均滯后版本數(shù)量達(dá)到了68.75個(gè)。甚至，目前被調(diào)用的第三方庫(kù)中，仍有七種第三方庫(kù)沒(méi)有團(tuán)隊(duì)維護(hù)，這可能會(huì)為IoT固件開(kāi)發(fā)埋下安全隱患。

白皮書還指出，開(kāi)發(fā)階段人員安全意識(shí)不足，存在使用弱口令、硬編碼密鑰等問(wèn)題，都非常容易引發(fā)嚴(yán)重的IoT安全事件。