2015IoT安全年报 13页.pdfVIP

1/13 摘 要  IoT 威胁攻击已摆脱概念，这些IoT 设备为人类带来便捷生活的同时，也给黑客提供了 新的土壤，所暴露出的安全问题越来越多。2015 年公布了一系列高危漏洞，这些漏洞 有的暴露用户隐私，有的影响用户财产，有的甚至对生命安全构成了威胁。由于IoT 设备数量大和互联的特性，一个小问题，其影响和严重程度就会被放大到几十倍，甚至 更多。  80%的设备暴露硬件调试接口，易被黑客利用。这些设备硬件上都保留了调试接口如 JTAG、SWID、UART，攻击者可通过这些接口获取大量实现上的信息，通过对这些信息的 理解，可远程影响更多同类型的设备。  90%固件的安全隐患严重威胁IoT 安全。阿里移动安全团队分析发现，90%以上的固件升 级更新机制实现不安全、固件对通讯数据的安全检查不完整、大量厂商的固件存在包括 密钥等敏感信息、固件中保留了调试命令接口，可远程操作设备等特点将严重威胁IoT 安全。  94%传统Web 安全漏洞同样影响IoT 云端Web 接口。阿里移动安全团队分析发现，传统 Web 安全中的问题同样存在于IoT 云端Web 接口，如跨站脚本、文件修改、命令执行及 SQL 注入等。  位置与时空安全将对用户造成物理性攻击危害。  通信系统及基础设施安全长期不受重视，危害IoT 设备安全。包括：利用运营商业务短 信系统进行远程诈骗、通信基站设备存在安全隐患、VoLTE 业务漏洞成为另一个攻击平 台、4G LTE 安全性还待考验等。  IoT 的业务安全将成为新的安全威胁方向。IoT 各种业务上产生的数据如个人识别信息、 医疗记录、用户账户数据、O2O 业务交易信息等将对生活、工作、娱乐、甚至个体产生 极大的关联和影响。但设备在接入、传输、存储等各环节缺少正常的安全防控，甚至缺 乏基本的安全考虑。毫无疑问，黑客将会把目标瞄准新的战场，即IoT 设备上的业务安 全。网络安全领域很多典型防控措施如分隔、域、安全服务最小化等已经不能完全适应 IoT 带来的安全新挑战，对有价值业务的精确管控和持续防护，才是确保企业和用户安 全的关键因素。 2/13 目录 摘 要2 第一章 IoT 威胁攻击日益凸显4 第二章 IoT 安全问题5 1.1 80%的设备暴露硬件调试接口，易被黑客利用5 1.2 90%固件上的安全隐患严重威胁IoT 安全5 1.3 94%传统Web 安全漏洞同样影响IoT 云端Web 接口8 1.4 位置与时空安全会对用户造成物理性的攻击危害8 1.5 通信系统及其基础设施安全性长期不够重视9 第三章 IoT 安全未来发展趋势11 3/13 第一章 IoT 威胁攻击日益凸显 一时间，我们日常使用的设备多出了智能的概念，小到一块手表，大到一辆汽车，通过 有线或无线的方式实现了互联，使得他们不只是具有传统的功能，而是更加的smart 起来。 这些设备被统称为IoT （Internet of Things），他们无处不在，应用的场景有汽车、医疗、 物流运输、智能家庭、娱乐等领域。2015 年，设备的数量呈持续增长趋势，据 Gartner 公 司预测，到2020 年物联网设备将达到260 亿的规模。 IoT （物联网）利用多种如Sub-1G、NFC、蓝牙、WiFi、ZigBee 无线通讯技术，又涉及 到硬件、设备固件、移动端应用软件、云端服务。可以说IoT 融合了很多技术，而且形态各 异，但从物理结构上可分成：智能终端设备、手机移动端、云端这三部分。通过手机端下载 移动应用，与云端进行通信或直接和终端设备通讯，发送控制指令，再由云端转发控制指令 给设备终端，这样就可以实现在任意能够接入互联网的环境下，去控制一台在内网的智能设 备，进而实现智能化。 这些设备让我们的生活变得便利的同时，也给黑客提供了新