智能設備正在成為新的安全威脅，一份研究報告指出，如果不采取有效措施，智能設備的安全漏洞將會以每年超過20%的速度增長。

11月27日，360安全大腦發(fā)布了國內首個智能設備安全報告，這份名為《典型IoT設備網(wǎng)絡安全分析報告》從智能攝像機、電視盒子、智能打印機等家庭及辦公場景下最常見的IoT設備入手，進行了50余個品牌近200種不同機型產品的抽樣檢測與分析，并圍繞廠商安全服務水平、用戶安全意識、IoT安全趨勢等維度，系統(tǒng)分析了典型IoT設備的安全問題。

報告顯示了嚴峻的IoT安全現(xiàn)狀，指出一些常見漏洞可輕易導致IoT設備喪失控制權，任人擺布。這些與用戶“朝夕相處”的IoT設備將帶來更嚴重的安全威脅，而智能攝像頭首當其沖，成為“最不安全”的智能設備。

此外。報告還預計，如果不采取有效措施提高IoT設備安全性，2019年，與IoT設備相關的漏洞將以28.6%的速度增長，安全形勢不容樂觀。

智能攝像頭最危險：近五分之一存在漏洞

該報告研究對象為IoT設備危害最大，也最為普遍的三大類安全漏洞：遠程弱口令漏洞、預置后門漏洞和敏感信息泄露漏洞在不同智能設備上的分布情況。

檢測顯示，8.4%的受檢設備存在遠程弱口令漏洞，是影響最廣泛的漏洞，弱口令極易被破解，繼而導致設備喪失控制權，危害后果嚴重。

目前的智能設備遠程操作已經是“標配”，比如利用手機查看家中智能攝像機的畫面、網(wǎng)頁管理打印機等設備、上傳下載文件等。

所謂遠程弱口令，即使用的遠程服務只設置了簡單密碼，比如admin、password、12345678等常見字母、數(shù)字組合，以及個人姓名、生日、電話號碼、身份證號等，。

報告顯示，19.5%的智能攝像機存在上述常見安全漏洞，是三類設備中最“危險”的IoT設備。而在智能攝像機存在的漏洞中，遠程弱口令漏洞占比最高，為91.7%。這一漏洞發(fā)生在智能攝像頭上，可能導致攝像頭變“偷窺狂”，泄露用戶隱私。

此外，智能打印機存在的漏洞中，遠程弱口令漏洞占比最大，為95.8%。在企業(yè)的日常工作場景中，遠程傳輸文件進行打印是再熟悉不過的行為。如果打印機管理員疏于修改打印機出廠設置的遠程服務弱口令，可能引發(fā)商業(yè)機密的泄露，帶來不可估量的損失。

在電視盒子暴露的漏洞中，敏感信息泄露漏洞占比高達92.7%，遠超其他類型漏洞。該漏洞主要由敏感數(shù)據(jù)存儲未加密、采用明文傳輸?shù)仍驅е?。利用這些漏洞，攻擊者能遠程查看用戶電視設備播放的節(jié)目列表、歷史記錄，甚至造成用戶的視頻網(wǎng)站賬號密碼泄露。

報告強調，除這三大類漏洞外，不同的IoT設備中還存在更大比例的其他類漏洞，整體安全情況不容小覷。

用戶最擔憂隱私泄露、人身財產安全

360安全大腦對IoT設備用戶的調研顯示，提升生活便捷程度、享受科技體驗、守護家庭安全為用戶購買IoT設備的三大原因。但是，用戶對IoT設備的擔憂，也同樣來源于安全方面。

調研數(shù)據(jù)顯示，用戶對IoT設備最擔憂的安全問題是隱私泄露及盜竊，其次是人身安全、支付安全、病毒攻擊和WIFI風險。用戶所擔心的這些方面，也是IoT設備目前被詬病最多的威脅。

根據(jù)調研，只有36.0%的網(wǎng)友表示，從未遭遇過IoT設備安全問題。4.5%的用戶表示經常被各種安全問題轟炸，飽受叨擾；18.1%的用戶表示曾遭遇過安全問題，雖然加強了防護，但仍然防不勝防；另外高達40.1%的用戶表示，不知道是否曾遭遇過智能硬件安全問題，但個人信息可能已經被泄露了。

除了IoT設備本身的漏洞，用戶的忽視以及不安全使用，也是造成IoT設備安全問題的重要因素。用戶的不安全使用行為包含不修改默認密碼、設置弱密碼、不升級打補丁、安裝過多插件等。

密碼方面，用戶使用弱密碼或使用默認密碼，是重要的安全隱患之一。360安全大腦通過對用戶的調研顯示，61.7%的用戶會修改密碼并設置高防護密碼，而30.5%的用戶會使用弱密碼，還有6.8%的用戶根本不去修改密碼。

定期升級系統(tǒng)或給漏洞打補丁，是確保IoT設備安全性的重要舉措。360安全大腦對用戶的調研顯示，大部分用戶會及時升級、打補丁，分別占比49.3%和63.0%；0.9%的用戶不去修補漏洞，7.5%的用戶不去升級網(wǎng)絡端口；其余則是大部分會、偶爾會。也就是說，用戶的安全意識仍然不夠高。

廠商是第一責任人，三成廠商不考慮安全問題

廠商是守衛(wèi)IoT安全的第一道關口，其能否為IoT設備設置安全模塊、高強度的出廠密碼，及時修復漏洞，都關系著IoT設備的安全。

然而，報告通過對流行IoT設備制造商的抽樣調查發(fā)現(xiàn)，有66.7%的廠商會為部分IoT產品設置安全模塊，另有33.3%的廠商則在設計IoT產品時完全不考慮安全問題，不設置安全模塊。這種情況在中小廠商和初創(chuàng)廠商中更為普遍。

此外，廠商能否為IoT設備設置高強度的出廠密碼，關乎IoT設備安全。360安全大腦監(jiān)測數(shù)據(jù)顯示，在進行抽樣調查的IoT設備中，出廠設置弱密碼的設備數(shù)量占比高達64.4%，存在較高的被暴力破解風險，危及用戶隱私。

約三分之二的廠商，未能在接到第三方報告后，三個月內修復系統(tǒng)漏洞。除安全意識不足的因素外，在IoT行業(yè)，很多廠商由硬件廠商轉型而來，其軟件和安全技術相對欠成熟，這也可能帶來“不修復或延遲修復”情況。

對此，360安全大腦給出6項安全建議：產品上市前應與專業(yè)安全產商、安全機構合作，進行充分的安全檢測；建立和健全產品更新機制，產品投入市場后定期更新維護產品，提供完備的用戶服務；產品在設計時，就應置入安全模塊，在整體產品設計架構中充分考慮安全性；使用開源軟件開發(fā)的系統(tǒng)，應該在使用之前進行源代碼安全檢測；密切關注CNVD、補天等第三方漏洞平臺的安全通報，第一時間發(fā)現(xiàn)相關安全漏洞并修復；產品設計弱口令修改提醒功能，向用戶警示安全風險，督促用戶盡快修改初始密碼。

2019年IoT設備相關漏洞增長率逾28% ，遠超整體漏洞增長率

美國國家信息安全漏洞庫披露的近5年的漏洞數(shù)據(jù)顯示，與IoT設備相關的漏洞增長率遠高于漏洞整體增長率。

以2017年為例，全網(wǎng)安全漏洞增長率為18.3%，但IoT設備的漏洞增長率高達33%，高于全網(wǎng)漏洞增長率14.7%。

360安全大腦根據(jù)2017年與2018年的數(shù)據(jù)保守預測，如果不采取有效措施提高IoT設備安全性，2019年，與IoT設備相關的漏洞將以28.6%的速度增長，安全形勢不容樂觀。

近些年，IoT安全事件頻發(fā)。

2016年10月發(fā)生的美國斷網(wǎng)事件，實際上就是由一個名為Mirai的僵尸網(wǎng)絡控制全球89萬個IoT設備（主要是智能攝像機），對美國DNS解析服務商Dyn發(fā)動DDoS攻擊所引起的。這一事件大大改變了人們對IoT安全的認知：物聯(lián)網(wǎng)設備、智能家居的安全漏洞原來不僅僅是會威脅個人隱私，只要數(shù)量足夠多，也會威脅國家安全。

2017年3月，Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數(shù)據(jù)泄露，涉及玩具錄音、MongoDB泄露的數(shù)據(jù)、220萬賬戶語音信息等；今年8月，美敦力公司（Medtronic）心臟起搏器被曝出安全漏洞，攻擊者可以遠程操控心臟起搏器，直接危及使用者生命安全。

不僅如此，自2017年下半年以來，挖礦木馬的流行也擴散到了IoT領域，大量的IoT設備被黑客批量掃描控制，進行挖礦活動。只要聯(lián)網(wǎng)的IoT設備存在遠程漏洞，都有可能被攻擊者所控制。而如智能電視、電視盒子等網(wǎng)絡設備的安全漏洞，也使攻擊者有可能通過遠程攻擊竊取和監(jiān)控用戶上網(wǎng)信息，甚至盜取用戶上網(wǎng)帳號。

在此次報告發(fā)布的同時，360也發(fā)布了 IoT安全生態(tài)守護計劃。據(jù)悉，360在IoT安全方面已有多年積累，具備IoT安全感知能力，能做到對漏洞監(jiān)測和預警。360愿意將IoT安全防御方面的經驗、數(shù)據(jù)、技術、能力開放出來，與大家進行合作，向生態(tài)廠商開放，攜手多方共同打造IoT安全生態(tài)。