騰訊安全科恩實驗室發(fā)布《2018年IoT安全白皮書》(以下簡稱“白皮書”)指出，在486款最新版本IoT(物聯(lián)網(wǎng))設(shè)備固件中，共發(fā)現(xiàn)16508個安全風(fēng)險，其中智能家居設(shè)備存在的安全風(fēng)險數(shù)量最多。

平均每款被檢測IoT設(shè)備含33.96個風(fēng)險

隨著物聯(lián)網(wǎng)產(chǎn)業(yè)的快速發(fā)展，越來越多的物聯(lián)網(wǎng)設(shè)備被應(yīng)用在人們的生產(chǎn)生活中。

白皮書數(shù)據(jù)顯示，目前全球物聯(lián)網(wǎng)設(shè)備數(shù)量已達(dá)到70億，預(yù)計到2020年，活躍的物聯(lián)網(wǎng)設(shè)備數(shù)量將增加到100億。不過，物聯(lián)網(wǎng)安全問題也日益突出，引發(fā)社會廣泛關(guān)注。

對此，騰訊安全科恩實驗室對2018年市場占有率較高的486款最新版本IoT設(shè)備固件進(jìn)行檢測，共發(fā)現(xiàn)16508個安全風(fēng)險，平均每一款被檢測的IoT設(shè)備包含33.96個安全風(fēng)險，其中智能家居設(shè)備存在的安全風(fēng)險數(shù)量最多。

固件漏洞風(fēng)險類型分布圖

白皮書指出，單個設(shè)備平均安全風(fēng)險數(shù)量從高到低分別為智能音箱、攝像頭、路由器／交換機(jī)、無人機(jī)、智能門鎖。如，攝像頭屢屢被曝出針對圖像數(shù)據(jù)的隱私侵犯以及未授權(quán)入侵等安全問題。

“利用這些已存在的IoT設(shè)備安全風(fēng)險，數(shù)千萬的IoT設(shè)備會受到影響，輕則正常功能被阻塞，無法響應(yīng)用戶請求，重則被不法分子利用來精心構(gòu)建完整攻擊鏈路”，白皮書強(qiáng)調(diào)，不法分子獲取更高系統(tǒng)權(quán)限，可將IoT設(shè)備變成公開的密碼本和行走的感染源。

第三方庫的嚴(yán)重、高危風(fēng)險形勢嚴(yán)峻

據(jù)白皮書介紹，IoT固件安全風(fēng)險類型主要分為公開安全風(fēng)險(Nday)和未公開安全風(fēng)險(0day)，其中公開安全風(fēng)險占絕大部分，這與IoT廠商在開發(fā)生命周期中忽略公開漏洞的排查和修復(fù)密切相關(guān)。

近年來，由于第三方庫安全問題引發(fā)的IoT安全事件不容忽視。簡單來說，第三方庫也就是別人提供的代碼庫?；诠?jié)約開發(fā)成本、提高開發(fā)效率、縮短開發(fā)周期的目的，不少IoT開發(fā)商會直接使用第三方庫。但是，一些IoT開發(fā)商不重視第三方庫的安全性，缺失了針對第三方庫代碼的漏洞審查環(huán)節(jié)。

安全風(fēng)險等級分布圖

統(tǒng)計顯示，第三方庫在IoT固體安全方面造成的安全風(fēng)險數(shù)量甚至比App上的情況更為嚴(yán)重。在本次檢測統(tǒng)計中，由第三方庫導(dǎo)致的Nday安全風(fēng)險占比超過發(fā)現(xiàn)總量的90%。第三方庫安全風(fēng)險按等級劃分，目前嚴(yán)重、高危比例接近50%。

值得注意的是，第三方庫在版本上的滯后非常明顯。白皮書強(qiáng)調(diào)，第三方庫在版本迭代和更新頻率上各不相同，平均滯后版本數(shù)量達(dá)到了68.75個。甚至，目前被調(diào)用的第三方庫中，仍有七種第三方庫沒有團(tuán)隊維護(hù)，這可能會為IoT固件開發(fā)埋下安全隱患。

白皮書還指出，開發(fā)階段人員安全意識不足，存在使用弱口令、硬編碼密鑰等問題，都非常容易引發(fā)嚴(yán)重的IoT安全事件。