行业新闻与博客

在本周在纽约举行的 Infosecurity ISACA 北美博览会和会议上，Pen Test Partners 的合伙人 Ken Munro  带领参观者进行了他所谓的 IoT 相关安全问题的“可怕，令人毛骨悚然的参观”。Munro 解释说，一个名为“ My Friend Cayla”的儿童洋娃娃只是市场上基于 IoT 的消费和商业产品数量不断增长的一个例子，而且其设计缺乏适当的安全性，使许多人容易受到伤害。去攻击。

例如，Cayla 是一种具有语音识别技术的儿童洋娃娃，可使其与孩子进行对话。但是，父母最大的卖点是 Cayla 的 GPS 接收器和无线模块，这使他们可以跟踪和收听孩子的声音。尽管 Cayla 被认为是“孩子友好”和“网络安全”的，但 Munroe 在探索嵌入式系统漏洞方面的长期经验使他产生了怀疑。不久之后，他发现了自己所说的“巨大的攻击面”，这使他和他的团队能够发现卡耶拉的另一面更加险恶的一面。

通过模拟 Cayla 手机应用程序的简单程序，Pen Test Partners 团队能够访问娃娃基于 Web 的门户并将其用户状态代码从 1 更改为 0，从而使他们可以对娃娃的功能以及用户进行完全的管理访问。所有其他玩偶所有者的信息。从那里，他们能够修改表格，从而阻止 Cayla 使用 1500 个被认为是“顽皮”的单词，用 Munro 的话来说，“让她像水手一样发誓。”如果他们选择这样做，则此访问权限将还允许他们访问其他所有者的玩偶，并聆听甚至与孩子交谈。

Munro 指出，他使用的攻击只是 Cayla 众多漏洞之一，例如安全性差的无线链接，容易被黑客入侵的蜂窝调制解调器以及未加密的 SIM 卡，几乎所有这些都可以在数量惊人的“智能”中找到。消费品，例如恒温器和儿童跟踪设备。许多商业和工业产品也存在类似的问题，包括网络摄像机，智能建筑控制器和其他安全设备。

Pen Test Partners 进行的研究表明，这些问题中的大多数是由一些高度可预防的来源引起的，这些来源包括：

剪切和粘贴供应商提供的软件和硬件参考设计，很少或根本没有审查安全问题

广泛使用第三方基于 Web 的服务，而没有评估它们的安全性或易受其他媒介破坏的能力

在整个供应链中广泛使用离岸供应商进行工程，材料和装配，而无需对其安全性或完整性进行任何评估

Munro 总结说，由于我们很有可能生活在一个更加互联的未来中，因此制造商不能忽视使他们的产品对物联网中等待他们的潜在网络攻击更具抵抗力的需求。

非常感谢您对亚洲注册的支持与信任！

禁止转载