江苏龙网

  1. 首页 > 资讯 > 科技 > >

不注重设备安全性就别做IoT生意


物联网(IoT)设备被黑客入侵导致数据被窃取、控制权被夺取等的案件层出不穷 , 包括Google与Samsung的Android平台相机应用程序 , 还有亚马逊(Amazon)旗下的Ring品牌家用保全摄影机 , 都曾经被“劫持”、用来窥探使用者 。
根据市场研究机构Omdia (前身为IHS Markit的科技市场研究部门)估计 , 2020年全世界的物联网设备安装量将达到350亿台;该机构企业研究部门副总裁Bill Morelli在接受《EE Times》采访的电子邮件中表示 , 这意味着有350亿个让黑客威胁安全性的机会 。 “因此 , 网络安全已经成为全球各个企业组织的第一优先 , ”他指出:“全球网络安全相关支出预计在2023年 , 从2019年的600亿美元激增至1,570亿美元 。 ”
每一个消费性物联网设备的安全漏洞 , 都可能导致数百万使用者的安全性与隐私权威胁;而且很多连网消费性产品的安全漏洞都不是被制造商发现的 , 反而是外部的网络安全专家 , 或是所谓的“白帽”(white-hat)黑客(EETT编按:就是没有犯罪恶意的善良黑客) 。
这也是为什么安全漏洞通报(vulnerability reporting)被广泛认为是对物联网设备安全性的基本要求;所以难道制造商不该基于这个理由 , 尽一切可能来征求这类的发现 , 以快速找到漏洞所在并进行修补?可惜事实显然并非如此 。
下周三(5月20日) , EE直播间将进行以”万物智联 , 安全为先!物联网安全应用的MCU设计挑战和解决方案“为主题的直播 , 欢迎届时来观看 , 点击此处即可免费报名 。
安全漏洞通报仍是一个新观念
产业组织“物联网安全性基金会”(IoT Security Foundation , IoTSF)的最新报告指出 , 有超过86%的消费性物联网设备制造商没有安全漏洞通报措施 , 政府主管机关短期内并没有相关强制要求的立法规划 , 当然也没有订定中的相关国际标准 。
这是该基金会第二次发行的年报 , 调查了全球共330家消费性物联网制造商;它们的产品从摄影机到洗衣机都有 , 其中最大的两个产品类别 , 是智能家用照明以及智慧家用保全 。 而就像报告中所写:“有些讽刺的是 , 智慧家用保全(smart home security)产品类别中的37家厂商 , 只有3家(占据该类别8%比例)明显拥有安全漏洞通报措施 。 ”
整体看来 , 具备安全漏洞通报措施的业者比例 , 从9.7%增加到了13.3%;除了少数例外 , 那些业者大部分是消费性品牌大厂 , 像是Amazon、Apple、FitBit、Dyson、Garmin、Google、HP、HTC、Huawei、Lenovo、LG、Motorola、Samsung、Siemens、Signify与Sony等公司 。
对此IoTSF管理总监John Moor接受《EE Times》访问时指出:“我们虽然还没有针对该比例这么低的原因进行正式研究 , 但我认为首先是业者缺乏认知 , 因为很多公司都是才刚进入连网嵌入式系统领域;其次 , 也最重要的是 , 这个问题没有责任归属 , 因为没有相关法规 , 所以有些公司根本不想自找麻烦 。 ”
但是 , 这其实花不了什么成本 , 最简单的安全漏洞通报系统只需要建立一个网页 。 业者缺乏认知是最大的问题;Moor表示 , 连网嵌入式设备的激增 , “正剧烈改变电子设计以及对现场支持的要求 。 ”他指出 , 为那些在传统上与外界隔绝的嵌入式设备添加链接性与软件功能 , 大大增加了系统以及它们链接对象之攻击面(attack surface) 。
一直到最近 , 安全漏洞通报程序都不是电子工程师或是他们的主管非常在意的事情 , 但这对于物联网设备来说是基本安全性要求 。 但就算是IoTSF调查中那44家拥有安全漏洞通报措施的公司 , 其通报程序也是五花八门而且复杂 。
IoTSF报告显示 , 超过三分之一的业者并没有设置通报时程以取得最佳效果 , 其中只有4家订定了90天的修正安全性问题期限 。 在这44家厂商中只有不到一半提供某种形式的错误通报奖励──给予金钱上的奖励 , 能让白帽黑客们更愿意将发现到的安全漏洞通报业者 , 而不是将之出售到“黑市” 。


推荐阅读


上一篇:快科技700元起!索尼发布三款便携蓝牙音箱:重低音出众、能给手机充电

下一篇:网友曝小米澎湃S2照片,vivo也在申请芯片商标