据国外媒体报道，对10款高人气的物联网设备进行的安全审查发现，它们存在的安全缺陷惊人地多。

    惠普旗下fortify部门的研究人员进行的这项研究持续了3周时间，涉及十大类最常见的物联网产品：电视机、网络摄像头、家用温控器、遥控电源插座、洒水器控制器、用于控制多种设备的控制器、门锁、家用报警器、磅秤和车库门遥控开关。

    所有这些产品都连接到某种云服务和移动应用，使用户能远程控制它们。惠普研究人员发现了总共250个安全缺陷，其中包括隐私、不对传输的数据进行加密、web界面缺陷、不安全的固件升级机制、虚弱的身份认证机制等。

    研究人员在报告中写道，“在10款提供用户界面的设备中，6款存在一系列问题，例如跨站点脚本缺陷和虚弱的身份认证机制。”

    7成设备使用非加密的网络服务，使得它们与云服务、移动应用的连接容易遭受中间人攻击。8成设备没有使用足够长和复杂的密码。研究人员能利用强度很低的密码――例如“1234”或“123456”，配置大多数设备。研究人员说，“黑客能够利用低强度的密码、不安全的密码恢复机制、虚弱的身份认证机制等缺陷，获得设备访问权限。”

    6成设备下载固件升级包时没有使用加密技术。另外，升级包文件本身也没有任何保护机制，这意味着在下载过程中黑客可以篡改文件。

    惠普研究人员表示，厂商应当根据开放web应用程序安全项目提出的物联网设备十大安全问题清单对它们的产品进行安全评估。研究中发现的许多缺陷被认为是“容易实现的目标”，修正很方便，而且不会对用户体验产生影响。

    今年针对家用路由器、网络附加存储设备、数字视频录像机和其他嵌入式系统进行攻击的事例非常多，表明黑客已经开始了解攻击这类设备的潜力，寻求通过攻击这些设备赚钱的途径。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。