<label id="to2uy"><ruby id="to2uy"><track id="to2uy"></track></ruby></label>

<td id="to2uy"><menuitem id="to2uy"><mark id="to2uy"></mark></menuitem></td><mark id="to2uy"><ruby id="to2uy"></ruby></mark>

  1. <output id="to2uy"></output>

    1. <td id="to2uy"></td><thead id="to2uy"></thead>

      亡羊补牢,为时未晚 智能家居安全如何保障?

      作者:?#27844;?#20449;息通信研究院 付凯 李莉 杨子羿 责任编辑:田小梦 2019.02.25 14:52 来源:通信世界全媒体

      通信世界网消息(CWW)随着物联网、大数据与人工智能等技术的不断发展,智能家居产?#31561;?#30410;繁荣。由于智能家居应用场景的特殊性,其安全问题不容忽视,一旦出现问题,不仅会泄露用户家庭住址、谈话内容等隐私信息,还可能造成经济与人身安全威胁。因此,本文针对智能家居安全现状,梳理了智能家居存在的安全隐患,并给出了相应的防护建议。

      安全事件频频发生

      目前,智能家居发展迅速,?#36824;?#20122;马逊等国际互联网巨头均推出了智能家居平台,为传统硬件厂商提供智能化解决方案,国内小?#20303;?#30334;度等公司?#19981;?#26497;推动智慧生活应用落地,推出小爱同学与小度音箱等产品。但其安全问题也日益突出,安全事件频频发生。

      亚马逊物联网操作系统FreeRTOS被爆出存在13个安全漏洞,攻击者可利用这些漏洞?#33529;?#35774;备,获取敏感信息以及远程运行代码,甚至可获得设备最高权限;思科研究人员发现三星智能家居平台SmartThings Hub存在20多个漏洞,通过这些漏洞,攻击者可执行任意代码,进而可攻击第三方智能家居设备;智能家居设备也存在一些漏洞,《智能门锁网络安全分析报告?#20998;?#20986;,市面上一些智能门锁存在安全问题,攻击者无需密码即可打开门锁,可给用户造成经济甚至人身安全损失。此外,CNCERT统计,2017年CNVD共收录了2440个?#27844;?#32852;网智能设备(此处指物联网设备)的安全漏洞,同比增长高达118.4%。

      随着智能家居安全成为热点研究方向,有?#30340;?#20154;士将安全问题划分为3个方面:平台安全、设备安全和通信安全。目前平台安全研究主要集?#24615;?#36523;份?#29616;?#19982;访问控制方案设计,发现设备联动与智能音箱等新场景的安全问题;设备安全研究主要集?#24615;?#35774;备固件漏洞挖掘和设备侧信道分析等方向;通信安全研究主要集?#24615;?#21327;议漏洞挖掘和网络流量分析等方向。

      此外,在安全标准方面,笔者通过梳理国内外智能家居相关的标准,发现目前国内外关于智能家居的标准较少,且没?#34892;?#25104;一个完整的体系,相关部门应加大智能家居安全标准化工作。

      4个层面皆存在安全风险

      目前市面上流行的智能家居系统架构主要包括云端、设备终端以及手机终端,如图所示。本文将从云端、设备终端、手机终端以及通信4个方面分析其存在的安全风险。

      1.png

      图  智能家居系统网络拓扑

      当前,智能家居云端面临的安全风险主要有以?#24405;?#28857;:一是身份?#29616;?#19982;鉴别安全,身份?#29616;?#20027;要用来验证使用者身份,防范非法用户对云端与设备的访问;二是访问控制安全,访问控制技术的目的主要是阻止用户(包括非法与合法用户)对受保护的网络资源进行非授权的访问;三是Web安全,云端一般支持Web服务,可能会存在XSS、CSRF及SQL注入等常见的Web漏洞;四是数据安全,云端收集大量用户数据,因此云端应?#29992;?#23384;储数据,防止数据泄露与被修改、删除等;五是系统安全,当云端服务器或路由器等设备使用的系?#22330;?#36719;件存在高危漏洞时,攻击者可通过这些漏洞进?#27844;?#20987;。

      笔者认为,智能家居设备终端也面临身份?#29616;?#19982;鉴别以及访问控制两大安全风险。为了便于远程管理,智能摄像头、智能网关等设备往往都支持Web服务,因此部分智能家居设备终端也面临常见的Web漏洞威胁。此外,智能家居设备终端还存在以下安全风险。固件安全方面,因受资源环境限制,智能家居设备固件往往较简单,攻击者可下载固件进行反编译,进而挖掘可能存在的漏洞。软件安全方面,当设备系统软件存在已知安全漏洞时,其受?#28966;?#20987;的风险将大大增加,此外,设备厂商应提供可靠的软件更新渠道,防止用户因无法升级而受到已知漏洞攻击。侧信道安全方面,攻击者可使用侧信道攻击窃取用户家庭环境等敏感信息。芯片安全方面,随着“英特尔芯片门事件”的爆发,芯片安全也亟需重视,当设备使用含有安全漏洞的芯片时,将毫无安全可言。端口与服务安全方面,攻击者可对设备开放的端口?#22836;?#21153;进行分析,寻找潜在的攻击点。

      智能家居手机终端安全风险主要指与智能家居相关的APP面临的安全威胁。比如,APP源代码安全方面,为快速上线抢?#38469;?#22330;,大量手机APP客户端并未对代码进行混淆加固保护,因此,攻击者可容易逆向扫描其源代码,进而挖掘漏洞。APP更新安全方面,?#34892;?#25163;机APP客户端未提供更新包验证机制,攻击者可以将恶意程序植入APP更新包并诱导用户安装,进而控制智能家居设备。短信验证码安全方面,?#34892;〢PP客户端并未对验证码进行?#34892;?#24615;验证,攻击者可利用短信验证码绕过漏洞任意修改其他用户密码。越权控制:越权控制漏?#35789;?#20110;访问与控?#21697;?#30068;,部分手机APP客户端?#32961;?#20998;功能存在越权漏洞,攻击者可越权横向控制其他用户设备或纵向获取云端或手机最高管理员权限。

      而智能家居通信协议主要包括ZigBee、Bluetooth、MQTT、CoAP等。其主要面临以下安全风险:一是协议?#29992;埽?#25163;机端与云端、云端与设备终端以及设备终端与云端之间数据若采取明文协议传输,将增大信息泄露的风险;二是协议?#24179;猓?#25915;击者可尝试分析?#24179;?#36890;信协议,进而解密?#29992;?#25968;据或进?#27844;?#20987;;三是重放攻击,部分协议设计之初未考虑安全因素,可能导致重放攻击;四是网络流量分析,攻击者可通过分析设备产生的网络流量,得到用户家庭环境或隐私等敏感信息。

      智能家居安全防护建议

      对于智能家居云端,笔者建议从以?#24405;?#26041;面进行防护:设计安全的身份访问与鉴别机制;设计安全的访问控?#33529;?#21046;;采取设置防火墙等Web防护手?#21361;?#20445;护Web安全,并定期进行已知漏洞扫描和渗透攻击工作;对用户密码等敏感信息进行?#29992;?#23384;储,防止用户隐私泄露,并做好备份与修复工作;安装必要的杀毒软件,及时关注系统与软件升级公告并做好升级工作,定期进行已知漏洞扫描工作。

      在智能家居设备终端方面,笔者建议从以?#24405;?#26041;面进行防护:设计安全的身份访问鉴别机制;设计安全的访问控?#33529;?#21046;;对固件采取必要的加固与混淆处理,增加逆向?#24179;?#30340;成本;做好软件开发与测试工作,防止系统软件出现已知漏洞,譬如采取SDL开发?#24739;?#26102;关注固件与软件更新公告,做好升级工作,减少被入?#22336;?#38505;;采取必要的手段抵御侧信道攻击;使用或研发安全芯片,防止出现类似Meltdown和Spectre等漏洞;根据?#23548;?#24773;况,采用“最小权限原则”与“默认拒绝”策略,默认关闭不必要的服务与端口。

      关于手机APP的防护,兴许可?#28304;?#20197;?#24405;?#26041;面着手:设计安全的身份访问与鉴别机制;设计安全的访问控?#33529;?#21046;;增?#21487;?#20221;验证,明确用户与权限之间的对应关系,采取“最小权限原则”与“默认拒绝”策略,防止出现越权漏洞,此外服务端需要做好验证,防止出现短信验证码绕过问题;源代码进行必要的加固、混淆处理,增加逆向?#24179;?#30340;成本;手机安装必要杀毒软件,及时关注APP升级公告,做好升级工作,且必须在正规官方下载地址下载升级包。

      此外,在通信协议方面,笔者认为可?#28304;?#20197;?#24405;?#26041;面进行防护:?#29992;?#20256;输数据,并使用安全强度较高的?#29992;?#31639;法;使用成熟且安全强度较高的通信协议,防止协议被?#24179;猓患?#24378;?#29616;?#36807;程,确保传输数据与用户隐私内容等不被第三方越权获取;采取添加随机数、时间戳等方式防止重放攻击。


      发表评论请先登录
      ...
      CWW视点
      暂无内容
      ...
      CWW专访
      暂无内容
      ...
      产业
        暂无内容
      体彩排列5历史开奖数据

      <label id="to2uy"><ruby id="to2uy"><track id="to2uy"></track></ruby></label>

      <td id="to2uy"><menuitem id="to2uy"><mark id="to2uy"></mark></menuitem></td><mark id="to2uy"><ruby id="to2uy"></ruby></mark>

      1. <output id="to2uy"></output>

        1. <td id="to2uy"></td><thead id="to2uy"></thead>

          <label id="to2uy"><ruby id="to2uy"><track id="to2uy"></track></ruby></label>

          <td id="to2uy"><menuitem id="to2uy"><mark id="to2uy"></mark></menuitem></td><mark id="to2uy"><ruby id="to2uy"></ruby></mark>

          1. <output id="to2uy"></output>

            1. <td id="to2uy"></td><thead id="to2uy"></thead>