Fortify 報告指出：萬物互聯濳在 10 款高危產品

HP 旗下fortify 部門的研究人員進行的這項研究持續了3周時間，涉及十大類最常見的萬物聯網(Internet of Everything)產品：電視機、網路攝像頭、家用溫控器、遙控電源插座、灑水器控制器、用於控制多種設備的控制器、門鎖、家用報警器、磅秤和車庫門遙控開關。

所有這些產品都連接到某種雲服務和移動應用，使用戶能遠端控制它們。惠普研究人員發現了總共250個安全缺陷，其中包括私隱、不對傳輸的資料進行加密、web介面缺陷、不安全的固件升級機制、虛弱的身份認證機制等。

研究人員在報告中寫道，在10款提供使用者介面的設備中，6款存在一系列問題，例如跨網站 script 的缺陷和虛弱的身份認證機制。

7成設備使用非加密的網路服務，使得它們與雲服務、移動應用的連接容易遭受中間人攻擊。8成設備沒有使用足夠長和複雜的密碼。研究人員能利用強度很低的密碼――例如“1234”或“123456”，配置在大多數設備。研究人員說，駭客能夠利用低強度的密碼、不安全的密碼恢復機制、虛弱的身份認證機制等缺陷，獲得設備存取權限。

6成設備下載 hardware firmware 時沒有使用加密技術。另外，升級檔案本身也沒有任何保護機制，這意味著在下載過程中駭客可以更改檔案。

HP 研究人員表示，廠商應根據開放web應用程式安全提出的物聯網設備十大安全問題清單對它們的產品進行安全評估。研究中發現的許多缺陷被認為是”修正很方便”，而且不會對用戶體驗產生影響。

今年針對家用路由器、網路附加存放裝置、數位視訊錄影機和其他嵌入式系統進行攻擊的事例非常多，表明駭客已經開始瞭解攻擊這類設備的潛力，尋求通過攻擊這些設備賺錢的途徑。