1、物聯網監控攝像機
無論它們是針對城市街角、企業設施還是孩子的搖籃,物聯網視頻攝像機已經成為我們互聯和日益受到監視的生活中的主流。即使不考慮人們在私人和公共空間的視頻被上傳到公司云端所引起的無數隱私問題,物聯網攝像機的安全影響已經浮出水面。
Mirai僵尸網絡的興起和它造成的DDoS破壞在游戲初期就說明了其中的一些問題,因為攻擊者特別濫用了物聯網攝像機的漏洞,創造了一個隨時可以攻擊系統的僵尸軍團。
正如發表在《物聯網》雜志上的一篇論文所指出的那樣,物聯網攝像機經常充滿了缺陷,包括 "缺乏對流媒體視頻中使用的協議的認證,以及對攝像機、應用程序和服務器之間的所有通信進行加密"。
這些缺陷不僅使Mirai式的DDoS攻擊成為可能,而且開啟了有針對性的攻擊,包括遠程接管攝像機,以做任何事情,從監視孩子們在他們神圣的房間里到監視會議室里的公司會議。
2、智能馬桶
為這個問題準備好了安全風險表。一個配備了聯網攝像頭的智能馬桶怎么樣?有什么可能出錯呢?
雖然這可能聽起來像惡作劇喜劇的一個離譜的設置,但一些科學家真的有興趣把這樣的東西帶到我們的馬桶底部。他們說,我們的后背有一個和指紋一樣獨特的生物指紋,他們可以利用像這樣的馬桶在早期階段識別疾病。
而這實際上只是馬桶創新者夢想中的若干迭代功能之一,這些功能構成了未來智能馬桶的愿景。其他功能包括遠程篩查廢物并上傳數據,這些數據可用于尋找疾病的標志物,那些可以監測廁所的維護狀態的廁所,以及一些使用連接性的花式照明。
2019年的一項研究對其進行了統計,聲稱大約五分之一的安全專家擔心他們的聯網廁所會被黑客攻擊。他們并不是唯一不信任智能馬桶的人--大多數人對這個想法持懷疑態度。在湯森路透的一項民意調查中,只有一半的受訪者會在某種程度上使用智能馬桶,十分之三的人說他們會完全抵制使用聯網馬桶的沖動。
3、數字車牌
數字車牌是物聯網炒作機器中日益增長的新熱點,像Reviver這樣的公司吹噓這些設備的好處,例如使收費過程更加順暢,恢復被盜設備,以及為國家機構執行許可證費用。
但是,正如幾年前無以倫比的布魯斯-施奈爾(Bruce Schneier)所說的那樣,"這對我來說毫無意義。這些數字是靜態的。車牌的低技術含量是一個特點,而不是一個缺陷。"
當涉及到政府監控或跟蹤時,數字車牌為各種安全和隱私問題打開了大門,那些設法入侵設備的人可能會進行跟蹤,當設備故障導致車牌無法顯示數字時,大量的可用性問題也會出現,而這些數字并不需要一塊金屬就能有效顯示。
然而,我們在這里,加利福尼亞州本月剛剛將數字車牌試點項目永久化,科羅拉多州成為第四個向公民推廣數字車牌的州,還有更多的州正在探索他們的選擇。
4、智能音箱
"嘿,智能音箱,告訴我把一個永遠在線的麥克風放到我的家里或商業場所,連接并發送錄音到別人的云端有什么網絡安全風險?"
來自谷歌、亞馬遜、蘋果以及其他許多介于兩者之間的制造商的智能音箱可能會提供大量的奇思妙想的功能,這對許多人來說是不可抗拒的--甚至有時對最憤世嫉俗的安全人員也是如此。從軼事來看,我們遇到過很多安全專家,他們承認自己無法控制自己,買了一個Dot或Nest。但是,我們從能夠用簡單的語音命令控制照明得到的東西,卻以增加安全和隱私風險的形式放棄了。
智能音箱是一個潛在的風險,從供應商的令人毛骨悚然的竊聽,到針對消費者的超目標廣告,再到被惡意行為者劫持以監視人們和企業。
5、智能廚房電器
如果你認為 "補丁星期二 "在企業安全工作中很糟糕,那么你可以想象一下,當一個嬰兒的父母正要熱奶瓶時,發現一個糟糕的固件更新使他們的微波爐失靈。十年前,這種情況可能聽起來很牽強,但現在卻越來越普遍。
今年春天,微波爐制造商伊萊克斯(Electrolux)的一名管理員的胖手指事件導致該公司向全歐洲的微波爐推送了一個糟糕的無線固件更新,使它們以為自己是蒸汽爐。它破壞了設備,以至于制造商不得不親自派技術人員去修理它們。
像烤箱、微波爐和冰箱這樣的智能廚房電器可能不一定像其他物聯網設備那樣具有巨大的企業風險,但上述情況值得提出適當的風險評估問題,"使這些電器成為'智能'設備的回報是否真的值得冒險?"
6、機器人吸塵器
當你意識到在人們的房子和辦公室里游蕩的機器人吸塵器也在繪制這些空間的布局--并將這些數字污垢送回吸塵器供應商的云端時,你已經幾歲了?對于這個問題,許多人都會覺得今天正好是個好日子,因為大多數人都不會太深入地思考真空吸塵器是如何工作的。
但這是事實,就在幾個月前,亞馬遜為掌握這種關于人們物理空間的詳細數據的最大公司之一支付了一筆錢。亞馬遜以17億美元收購了Roomba的制造商iRobot。這是亞馬遜大規模收集物聯網數據的又一箭,許多隱私倡導者越來越感到震驚。
"這不僅僅是亞馬遜在其市場上銷售另一種設備,"消費者權益保護組織 "公共公民"(Public Citizen)的總裁羅伯特-韋斯曼(Robert Weissman)在8月宣布這項交易時告訴《衛報》。
"這是關于該公司獲得我們生活的更多私密細節,以獲得不公平的市場優勢并向我們出售更多的東西。世界上最不需要的就是亞馬遜吸走我們更多的個人信息。"
7、智能鎖
作為一類設備,智能鎖對一般人來說聽起來非常酷和方便。當你知道你要把雜貨帶進來的時候,從車道上打開門,或者與清潔公司共享一個有時間限制的密碼,那該有多好,對嗎?但這些設備也為那些會讓任何有安全意識的人汗毛倒豎的場景鋪平了道路。
這些設備是出了名的不安全--研究發現了固件、認證、通信協議等方面的缺陷,使它們很容易被跟蹤者、竊賊等人入侵。該研究的一些最近的例子包括展品A、B和C,以及越來越多的研究的整個字母表。
更重要的是,當這些鎖沒有鑰匙,只能以數字方式操作時,它們就會出現許多物聯網設備在出現互聯網中斷等干擾時的同樣的彈性問題。一個典型的例子是,加拿大供應商羅杰斯公司的互聯網大面積中斷,使得一個主要的音樂會場所--一個偶然由羅杰斯公司贊助的場所--無法在今年夏天開門舉辦音樂會。受影響的還有其他物聯網設備,如票務處理機和銷售點機器。
