未配置的物联网是一种安全风险,警告研究员

2022-03-30 08:46:20来源:

不应忽视互联网连接的设备作为安全风险,警告Security研究员Ken Munro,高级伴侣,伦理黑客公司笔测试合作伙伴,专门从事事物互联网(IOT)设备的安全性。

“没有康颇的物联网设备是危险的,因为它们有效地用作开放,未加密的无线接入点,可能为黑客提供了一种造成中断或对组织间谍的手段,”Munro每周告诉计算机。

许多IOT设备最初在接入点模式下工作,因此用户可以使用智能手机连接到设备,通过输入网络安全密钥来重新将其重新转到无线网络上的客户端,从而使其更加安全。

但企业和消费者通常会选择不将设备连接到互联网,相信这是更安全的。然而,这概述了这些设备通常被设计为默认方式用作无线接入点的事实。

“这意味着如果设备仍然是unctpd,它将保留在默认状态,使其更容易受到与互联网和康普德连接的影响,”Munro说。

“虽然这开放了另一套漏洞,但组织和消费者越来越意识到这些漏洞,因此更有可能意识到风险以及如何减轻它们。”

但是通过不协调的设备,攻击者可以使用战争驾驶或访问映射攻击,这将使Munro表示,这将使这些设备易于损害这些设备,因为攻击者可以使用像Wigle.NET等地理位置网站识别目标无线网络,显示任何给定位置中的无线接入点,并使帐户持有者能够搜索其数据库以查找无限素设备。

“这意味着攻击者可以在特定位置搜索特定的设备类型,然后他们需要做的所有内容都可以下载相应的应用程序,连接到物联网设备的无线接入点,并完全控制该设备,”他说。

企业可能面临着消费者物联网设备(如在企业环境中的咖啡壶或饮料饮食者)的风险,但不要通过IT安全风险评估,并被认为是安全的,因为它们没有连接到互联网。

“如果这些消费者物联网设备配备了相机或麦克风,则还有额外的风险,如果设备受到损害,则可以激活这些设备,以便在办公环境中启用窃听,”Munro说。

他补充说,风险不会停止在那里,因为没有连接到互联网的电器不太可能拥有软件更新,因为它们是首次安装的。

“这意味着攻击者可以上传设备固件的流氓版本来修改设备工作方式,”Munro表示。“可以修改受损的物联机洗衣机,以便水压导致爆炸或可以修改火灾报警系统以防止其检测和响应火灾。因此,不通过将其连接到互联网的设备不是没有风险的。“

这对于无线屏幕脚轮(如无线屏幕脚轮)的设备尤其危险,这些设备通常用于商业环境中,以通过将其铸造到会议室中的投影仪来共享笔记本电脑或移动显示。

“我们的研究发现,这些设备通常在安装时通过网络端口连接到公司网络,有时没有公司知道,”Munro说。“这有效地通过未连接到因特网的未计算设备来有效地为网络创建了一个后门。

“安装程序直接责任,但制造商也负责没有真正思考它是如何安装的,而且最终用户没有检查它是如何安装的。”

Munro表示,蓝牙连接造成比Wi-Fi更大的风险,因为用户通常没有用于验证或授权它们正在连接的移动设备的过程,使得可以在范围内进行连接。

IOT设备的固有安全风险导致全球呼叫政府干预以立法的形式,以确保所有IOT设备符合最低安全要求。

在许多人中作为英国物权立法的先例,政府已发表了一项自愿安全的安全守则,为欧盟一般数据保护法规(GDPR)和英国新的GDPR-SengetData保护支持的消费物联网市场Actin希望设备制造商将遵循最佳实践,以赢得市场批准和竞争优势。

Munro已经授权练习守则作为提高英国在许多其他国家之前提高英国的重要第一步,但指出代码似乎不会解决未连接的未计算设备所带来的风险。

“我不认为它在默认情况下,为射频设备和IoT设备上的接收器提出了一个特定的推荐,”他说,“在我的经验中,一旦您激发大多数这些设备,无线能力启用,少数例外情况。“

Munro认为,默认情况下,IOT设备的无线连接应该关闭,并且应配备一个按钮或其他方法,以使用户能够选择打开它并将其放入配对模式。“目前,带有这种功能的IOT设备很少,之间的几乎没有,”他说。

虽然Munro已经开展了概念验证攻击,但损害了更复杂的未分布了IOT设备,例如屏幕脚轮,危及公司网络并绕过防火墙,他说,如果组织以这种方式定位,它们不太可能意识到其中没有执行受影响设备的法医分析,但由于功能有限,大多数IOT设备都无法实现这一点。

“即使您怀疑组织中的一个设备以这种方式瞄准了目标,也很难证明这一点,”他说,添加组织应该确保所有IOT设备都连接和康复,或者他们的无线连接已关闭。

2018年11月,MUNGREEEMA ISSE 2018CYBER安全会议在布鲁塞尔呼吁政府ACTION IOT安全。

当时,他说,虽然英国的实践准则是一个很好的开始,但还有很长的路要走,他希望看到一些基本的监管。

慕罗表示,从那时起,英国数码部长詹姆斯已经开始记录,据说关于物联网安全的立法可能很长时间。

“这是向前迈出的一大步,我已经倡导了很长时间,”他说。“我认为物联网供应商可能有大约一年来开始关注并获得正确的事情。

“我们必须规范,因为市场上有太多的智能产品太多的制造商,他们只是不关心安全风险。”


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章