三星和斯旺物联网应用程序遭到破坏，我们什么时候才能面临安全漏洞？

Swann Security 的应用程序已被证明容易受到黑客攻击

周四，三星的固件中出现安全漏洞 的 SmartThings 中心。 Cisco Talos 发布了一篇关于多个漏洞的博客。饰演 Jeremy Cowan 据报道，这并不是最近暴露的唯一物联网安全漏洞。因此，企业对其未来 IIoT 服务的安全性感到不安也就不足为奇了。

Talos 发现三星 Smart Things 漏洞

思科 Talos 一直在与三星合作，以确保解决这些问题，并为受影响的客户提供固件更新。

该集线器是一个中央控制器，允许配备智能手机的用户监控和管理各种支持物联网 (IoT) 的家用电子产品。这些包括： 灯泡；供暖、通风和空调 (HVAC) 系统；门锁等等。这些漏洞可能允许攻击者在受影响的设备上执行操作系统 (OS) 命令或其他任意代码。

SmartThings Hub 上运行的固件基于 Linux，允许使用各种不同的技术（例如以太网、Zigbee、Z-Wave 和蓝牙）与物联网设备进行通信。

该漏洞已向三星披露，三星现在有可用的修复程序，但 Cisco Talos 发言人称这些漏洞“非常严重”。

鉴于这些设备经常收集敏感信息，发现的漏洞可能使攻击者能够监视和控制家庭或企业内的设备，或执行未经授权的活动。例如：

• 可以解锁由 SmartThings Hub 控制的智能锁，从而实现对家庭的物理访问。
• 在家中部署的摄像头可用于远程监控住户。
• 入侵者警报系统使用的运动探测器可能会被禁用。
• 可以控制智能插头关闭或打开可能连接的重要系统。
• 恒温器可能会被未经授权的攻击者控制。
• 攻击者还可能对可能连接到智能建筑内部署的智能插头的电器或其他设备造成物理损坏。

斯旺的家庭安全摄像头被劫持

上周同一时间，有消息称 Swann 的安全摄像头很容易被劫持，并且可以访问他们的视频和音频源。流行的无线安全摄像头品牌 - 旨在保护企业和家庭 - 事实上，很容易受到间谍攻击。

该缺陷意味着可以通过对 Swann Security 进行微小更改来访问从其他人的财产中流式传输的视频和音频 的应用程序。研究人员在 BBC 之后发现了这个问题 报告了一个客户收到另一个客户录音的案例。

针对新发现，斯旺告诉 BBC，问题仅限于一种型号，即 SWWHD-Intcam，也称为斯旺智能安全摄像头。

位于加利福尼亚的 Synopsys 的安全解决方案经理 Adam Brown 对此发表了评论 应用安全测试公司告诉 IoT Now ：“我个人有使用 Swann 相机的经验——我曾经拥有一台，尽管与报告中的不同。我发现可以直接从摄像机所在的网络访问摄像机源本身，并且对该视频源有一些访问控制——我记得是一个硬编码的密码——这是不好的做法。

“如果将该相机直接放置在互联网上（而不是在防火墙后面），那么窥探的眼睛可能会看到我的相机可以看到的东西。明显松懈的安全控制表明系统性故障。在不推测这里出了什么问题的技术细节的情况下，我推测 Swann 的软件安全计划要么缺乏，要么可以从管理层推动的一些刻意改进中受益。相机市场正在迎头赶上网络安全。中国领先的制造商正在将隐私和安全整合到他们的相机和基础设施中。隐私和安全对于相机行业至关重要，相机行业本身就是一种安全解决方案，”Brown 补充道。

安全是 IIoT 的首要问题

那么，考虑到工业物联网 (IIoT) 的未来，安全性是企业最关心的问题，这有什么奇怪的吗？我们之前已经问过，但在设备 OEM 开始认真对待安全之前，需要经历什么样的灾难（和破坏性的头条新闻）？

根据 2018 年 SANS Institute 工业物联网安全调查 报告 ，安全是工业物联网最大的担忧。

Tripwire 系统工程师经理 Dean Ferrando 评论：“连接设备和技术的扩展伴随着风险。工业物联网的开发和部署将安全置于风险评估的首位。部分原因是物联网制造商运送的设备几乎没有安全性，因此产品开发人员必须彻底检查设备中的技术并确保在软件阶段对安全性进行编程以消除任何缺陷。

“当联网设备可以对物理世界产生重大影响时，生命和安全就变得与网络安全特别相关。这就是为什么必须在最高级别解决关键基础设施内的安全问题。值得庆幸的是，随着新设备和问题的出现，有大量防御机制和技术可供选择，”费兰多总结道。 “如果工业组织要避免受到网络攻击，就需要实施安全卫生策略，将员工教育与正确技术投资结合起来。”

本文作者是
Jeremy Cowan（左图），
IoT Now
和 VanillaPlus 的编辑总监。