2015IoT安全年报

1/132/13摘要?IoT威胁攻击已摆脱概念，这些IoT设备为人类带来便捷生活的同时，也给黑客提供了新的土壤，所暴露出的安全问题越来越多。2015年公布了一系列高危漏洞，这些漏洞有的暴露用户隐私，有的影响用户财产，有的甚至对生命安全构成了威胁。由于IoT设备数量大和互联的特性，一个小问题，其影响和严重程度就会被放大到几十倍，甚至更多。?80%的设备暴露硬件调试接口，易被黑客利用。这些设备硬件上都保留了调试接口如JTAG、SWID、UART，攻击者可通过这些接口获取大量实现上的信息，通过对这些信息的理解，可远程影响更多同类型的设备。?90%固件的安全隐患严重威胁IoT安全。阿里移动安全团队分析发现，90%以上的固件升级更新机制实现不安全、固件对通讯数据的安全检查不完整、大量厂商的固件存在包括密钥等敏感信息、固件中保留了调试命令接口，可远程操作设备等特点将严重威胁IoT安全。?94%传统Web安全漏洞同样影响IoT云端Web接口。阿里移动安全团队分析发现，传统Web安全中的问题同样存在于IoT云端Web接口，如跨站脚本、文件修改、命令执行及SQL注入等。?位置与时空安全将对用户造成物理性攻击危害。?通信系统及基础设施安全长期不受重视，危害IoT设备安全。包括：利用运营商业务短信系统进行远程诈骗、通信基站设备存在安全隐患、VoLTE业务漏洞成为另一个攻击平台、4GLTE安全性还待考验等。?IoT的业务安全将成为新的安全威胁方向。IoT各种业务上产生的数据如个人识别信息、医疗记录、用户账户数据、O2O业务交易信息等将对生活、工作、娱乐、甚至个体产生极大的关联和影响。但设备在接入、传输、存储等各环节缺少正常的安全防控，甚至缺乏基本的安全考虑。毫无疑问，黑客将会把目标瞄准新的战场，即IoT设备上的业务安全。网络安全领域很多典型防控措施如分隔、域、安全服务最小化等已经不能完全适应IoT带来的安全新挑战，对有价值业务的精确管控和持续防护，才是确保企业和用户安全的关键因素。3/13目录摘要.....