国内首个智能设备安全报告发布 三成厂商产品无安全模块
作为智能设备安全的第一责任人,生产者并未很好的履行责任,国内首个智能设备安全报告显示,超过三成的厂商在智能设备设计阶段即无安全模块。
11月27日,360安全大脑最新发布《典型IoT设备网络安全分析报告》,报告发现,智能设备生产者还需要更加重视安全问题。
厂商是守卫IoT安全的第一道关口。厂商能否为IoT设备设置安全模块、高强度的出厂密码,及时修复漏洞,都关系着IoT设备的安全。
360安全大脑通过对流行的IoT设备制造商的抽样调查发现,有66.7%的厂商会为部分IoT产品设置安全模块,另有33.3%的厂商则在设计IoT产品时完全不考虑安全问题,不设置安全模块。这种情况在中小厂商和初创厂商中更为普遍。
厂商能否为IoT设备设置高强度的出厂密码,同样关乎IoT设备安全。360安全大脑监测数据显示,在进行抽样调查的IoT设备中,出厂设置弱密码的设备数量占比高达64.4%,存在较高的被暴力破解风险,危及用户隐私。
约三分之二的厂商,未能在接到第三方报告后,三个月内修复系统漏洞。除安全意识不足的因素外,在IoT行业,很多厂商由硬件厂商转型而来,其软件和安全技术相对欠成熟,这也可能带来“不修复或延迟修复”情况。
由此,可以看出厂商安全意识的缺乏,造成了很多维度的IoT智能设备安全隐患,但是值得注意的是,厂商并非唯一的“责任人”,用户的忽视以及不安全使用,也是造成IoT智能设备安全问题的重要因素。
360安全大脑对IoT设备用户的调研显示,提升生活便捷程度、享受科技体验、守护家庭安全为用户购买IoT设备的三大原因。但是,用户对IoT设备的担忧,也同样来源于安全方面。
根据调研数据,只有36.0%的网友表示,从未遭遇过IoT设备安全问题。4.5%的用户表示经常被各种安全问题轰炸,饱受叨扰;18.1%的用户表示曾遭遇过安全问题,虽然加强了防护,但仍然防不胜防;另外高达40.1%的用户表示,不知道是否曾遭遇过智能硬件安全问题,但个人信息可能已经被泄露了。
用户的不安全使用行为包含不修改默认密码、设置弱密码、不升级打补丁、安装过多插件等。
密码方面,用户使用弱密码或使用默认密码,是重要的安全隐患之一。360安全大脑通过对用户的调研显示,61.7%的用户会修改密码并设置高防护密码,而30.5%的用户会使用弱密码,还有6.8%的用户根本不去修改密码。
常见的默认密码为admin、password、12345678等,常见的弱密码如姓名、生日、手机号码等,较容易被破解。360安全大脑提醒广大用户及时修改密码,设置复杂密码。
定期升级系统或给漏洞打补丁,是确保IoT设备安全性的重要举措。360安全大脑对用户的调研显示,大部分用户会及时升级、打补丁,分别占比49.3%和63.0%;0.9%的用户不去修补漏洞,7.5%的用户不去升级网络端口;其余则是大部分会、偶尔会。也就是说,用户的安全意识仍然不够高。360安全大脑提醒用户,一定要及时修复漏洞,升级系统。
除了上述两点外,用户还需谨慎安装插件。安装插件可为智能硬件设备提供丰富的扩展功能。以智能路由器为例,目前市面上提供的路由器插件包括宽带提速、游戏加速、屏蔽广告、自动登录、恶意入侵拦截、虚拟内存、主题美化、远程下载等,甚至还包括购物平台及智能家居平台。从IoT安全层面看,每增加了一个插件,就相当于增加一个入口,如果插件中存在漏洞,则可能“因小失大”。
鉴于此,360安全大脑建议,产品上市前首先应与专业安全产商、安全机构合作,进行充分的安全检测,并且建立和健全产品更新机制,产品投入市场后定期更新维护产品,提供完备的用户服务。此外,产品在设计时,就应置入安全模块,在整体产品设计架构中充分考虑安全性。用户在进行这些设备的使用过程中,也应提高安全意识,在密码的使用上不要设置弱口令密码,及时进行漏洞的升级与修复。可以毫不夸张的说,在这个万物互联时代,厂商与用户对IoT设备安全的保护,等同于在保障自身的财产安全、隐私数据安全甚至人身安全。