平均每款物联网设备含34个安全风险
腾讯安全科恩实验室发布《2018年iot安全白皮书》(以下简称“白皮书”)指出,在486款最新版本iot(物联网)设备固件中,共发现16508个安全风险,其中智能家居设备存在的安全风险数量最多。
平均每款被检测iot设备含33.96个风险
随着物联网产业的快速发展,越来越多的物联网设备被应用在人们的生产生活中。
白皮书数据显示,目前全球物联网设备数量已达到70亿,预计到2020年,活跃的物联网设备数量将增加到100亿。不过,物联网安全问题也日益突出,引发社会广泛关注。
对此,腾讯安全科恩实验室对2018年市场占有率较高的486款最新版本iot设备固件进行检测,共发现16508个安全风险,平均每一款被检测的iot设备包含33.96个安全风险,其中智能家居设备存在的安全风险数量最多。
固件漏洞风险类型分布图
白皮书指出,单个设备平均安全风险数量从高到低分别为智能音箱、摄像头、路由器/交换机、无人机、智能门锁。如,摄像头屡屡被曝出针对图像数据的隐私侵犯以及未授权入侵等安全问题。
“利用这些已存在的iot设备安全风险,数千万的iot设备会受到影响,轻则正常功能被阻塞,无法响应用户请求,重则被不法分子利用来精心构建完整攻击链路”,白皮书强调,不法分子获取更高系统权限,可将iot设备变成公开的密码本和行走的感染源。
第三方库的严重、高危风险形势严峻
据白皮书介绍,iot固件安全风险类型主要分为公开安全风险(nday)和未公开安全风险(0day),其中公开安全风险占绝大部分,这与iot厂商在开发生命周期中忽略公开漏洞的排查和修复密切相关。
近年来,由于第三方库安全问题引发的iot安全事件不容忽视。简单来说,第三方库也就是别人提供的代码库。基于节约开发成本、提高开发效率、缩短开发周期的目的,不少iot开发商会直接使用第三方库。但是,一些iot开发商不重视第三方库的安全性,缺失了针对第三方库代码的漏洞审查环节。
安全风险等级分布图
统计显示,第三方库在iot固体安全方面造成的安全风险数量甚至比app上的情况更为严重。在本次检测统计中,由第三方库导致的nday安全风险占比超过发现总量的90%。第三方库安全风险按等级划分,目前严重、高危比例接近50%。
值得注意的是,第三方库在版本上的滞后非常明显。白皮书强调,第三方库在版本迭代和更新频率上各不相同,平均滞后版本数量达到了68.75个。甚至,目前被调用的第三方库中,仍有七种第三方库没有团队维护,这可能会为iot固件开发埋下安全隐患。
白皮书还指出,开发阶段人员安全意识不足,存在使用弱口令、硬编码密钥等问题,都非常容易引发严重的iot安全事件。
FTP常用命令的使用方法
江西鄱阳湖水质检测的无线传感网络设计策略
LED幻彩控制器怎么接线?
特斯拉发布形方向盘,似乎在引导司机越来越少地使用方向盘
再上2021牛年春晚的智能机器人公司优必选启动上市辅导
平均每款物联网设备含34个安全风险
RIGOL示波器为电源测量提供有效解决方案
华为P10/华为P10Plus怎么样?华为P10Plus与华为Mate9在配置、性能、颜值、跑分、拍照上相差500元的差距你看出来
物联网技术在改造海上钻井平台监测方面中的应用
5G时代下该如何推动物联网下一代项目的发展
开发套件EDK是完整的嵌入式开发解决方案
服务器数据恢复- Ext4文件系统服务器数据恢复案例
北京电子暨--5G应用展
区块链炒作周期,你是否受伤
嵌入式税控POS系统中AT91RM9200有重要作用
那些年在pytorch上踩过的坑
阿里AI实验室新官网正在制作 今后将独立上线
一站式vr安全体验馆可提高工人对安全培训重要性的理解
新型机器视觉工具可自动探测和报告交通异常
速锐得逛进博会首选汽车科技创新展台琢磨自己的解决方案
平均每款被检测iot设备含33.96个风险
随着物联网产业的快速发展,越来越多的物联网设备被应用在人们的生产生活中。
白皮书数据显示,目前全球物联网设备数量已达到70亿,预计到2020年,活跃的物联网设备数量将增加到100亿。不过,物联网安全问题也日益突出,引发社会广泛关注。
对此,腾讯安全科恩实验室对2018年市场占有率较高的486款最新版本iot设备固件进行检测,共发现16508个安全风险,平均每一款被检测的iot设备包含33.96个安全风险,其中智能家居设备存在的安全风险数量最多。
固件漏洞风险类型分布图
白皮书指出,单个设备平均安全风险数量从高到低分别为智能音箱、摄像头、路由器/交换机、无人机、智能门锁。如,摄像头屡屡被曝出针对图像数据的隐私侵犯以及未授权入侵等安全问题。
“利用这些已存在的iot设备安全风险,数千万的iot设备会受到影响,轻则正常功能被阻塞,无法响应用户请求,重则被不法分子利用来精心构建完整攻击链路”,白皮书强调,不法分子获取更高系统权限,可将iot设备变成公开的密码本和行走的感染源。
第三方库的严重、高危风险形势严峻
据白皮书介绍,iot固件安全风险类型主要分为公开安全风险(nday)和未公开安全风险(0day),其中公开安全风险占绝大部分,这与iot厂商在开发生命周期中忽略公开漏洞的排查和修复密切相关。
近年来,由于第三方库安全问题引发的iot安全事件不容忽视。简单来说,第三方库也就是别人提供的代码库。基于节约开发成本、提高开发效率、缩短开发周期的目的,不少iot开发商会直接使用第三方库。但是,一些iot开发商不重视第三方库的安全性,缺失了针对第三方库代码的漏洞审查环节。
安全风险等级分布图
统计显示,第三方库在iot固体安全方面造成的安全风险数量甚至比app上的情况更为严重。在本次检测统计中,由第三方库导致的nday安全风险占比超过发现总量的90%。第三方库安全风险按等级划分,目前严重、高危比例接近50%。
值得注意的是,第三方库在版本上的滞后非常明显。白皮书强调,第三方库在版本迭代和更新频率上各不相同,平均滞后版本数量达到了68.75个。甚至,目前被调用的第三方库中,仍有七种第三方库没有团队维护,这可能会为iot固件开发埋下安全隐患。
白皮书还指出,开发阶段人员安全意识不足,存在使用弱口令、硬编码密钥等问题,都非常容易引发严重的iot安全事件。
FTP常用命令的使用方法
江西鄱阳湖水质检测的无线传感网络设计策略
LED幻彩控制器怎么接线?
特斯拉发布形方向盘,似乎在引导司机越来越少地使用方向盘
再上2021牛年春晚的智能机器人公司优必选启动上市辅导
平均每款物联网设备含34个安全风险
RIGOL示波器为电源测量提供有效解决方案
华为P10/华为P10Plus怎么样?华为P10Plus与华为Mate9在配置、性能、颜值、跑分、拍照上相差500元的差距你看出来
物联网技术在改造海上钻井平台监测方面中的应用
5G时代下该如何推动物联网下一代项目的发展
开发套件EDK是完整的嵌入式开发解决方案
服务器数据恢复- Ext4文件系统服务器数据恢复案例
北京电子暨--5G应用展
区块链炒作周期,你是否受伤
嵌入式税控POS系统中AT91RM9200有重要作用
那些年在pytorch上踩过的坑
阿里AI实验室新官网正在制作 今后将独立上线
一站式vr安全体验馆可提高工人对安全培训重要性的理解
新型机器视觉工具可自动探测和报告交通异常
速锐得逛进博会首选汽车科技创新展台琢磨自己的解决方案