脆弱的物联网应用程序体让黑客窃喜

Posted 2020-08-19

刨除种类繁多的CPU底层硬件设备，以及版本杂乱的操作系统平台，物联网设备自身的安全隐患与PC时代、互联网时代IT产品所面临的安全问题几乎完全相同，或者说是“一脉相承”。借用梆梆安全产品副总裁付杰先生的一句话，“只是要开的那扇门变得更加复杂、麻烦了而已。”

智能摄像头、智能手机、智能汽车……物联网终端的硬件平台早已不复PC、互联网时代那么单一，操作系统类型更是五花八门。这意味着黑客需要针对不同硬件平台、不同操作系统找到分别适合的“撬锁工具”——入侵方法。“原先的门可能只有几扇或者十几扇，一套或者几套撬锁工具就能搞定。但物联网时代的门可能会有成百上千，所需要的撬锁工具更可能是需要数以十计或者更多。”

一旦推开了门，生存于其中的程序、应用里所暗藏的安全隐患与PC、互联网时代则如出一辙。早在2013年左近，梆梆安全在给各类移动应用做安全检测时就发现，漏洞多多、问题重重、千疮百孔，“PC里的安全问题在这里一个都没少，一切都是那么老套。”

随着物联网所关联的利益链变得庞大起来，黑客发起攻击的“性价比”愈发高涨，特别是当物联网攻击难度大多聚焦在“开门”这个环节时，老套的安全隐患将进一步降低恶意攻击成本，诱导恶意攻击者通过对物联网发起攻击获取惊人收益。

在物联网世界里拼搏的人们，当您依然将产品性能、用户体验放在第一的位置，当您依然弱视、无视安全性把它放在遥远的第N位置时，这意味着您已经将本应自己收获的累累果实，“无私”地“奉献”给了恶意攻击者，并为其予取予求“大开方便之门”。

物联网时代下，忽视安全，就等同于放弃了生存的权利！

毫不设防的程序代码，让黑客轻松得手。

Mirai病毒通过扫描物联网设备，尝试默认通用密码进行登录操作，一旦成功即将这台物联网设备作为“肉鸡”纳入到僵尸网络里，进而操控其攻击其他网络设备。

在本次攻击事件中被攻击控制的网络摄像头、DVR，其模组中的密码被写入到了固件里，一方面用户对于这个密码毫不知情，另一方面还没有任何工具能够修改这个模组的密码，这给了黑客可乘之机。黑客在扫描发现这一安全漏洞后，通过默认密码就打开了大门，进而修改了应用程序的访问网络地址，再控制其发起DDoS攻击，一切都是如此的“水到渠成”、“毫无阻碍”！对安全性的忽视，使得物联网设备里的应用程序体异常脆弱，很容易被攻击者发现漏洞、利用漏洞。

实际上，现在大多数移动应用程序、物联网终端里的应用程序，都“惯例性”的没有对自身进行任何安全增强，虽然设置了登录密码，但很容易被攻击者找到获取密码或者绕过密码的方法。一番反编译下来，就能对应用程序了解个底朝天，篡改操作实在是得心应手，借用一句网络语“简单的不要不要的”！

如果要了解更多相关网络安全信息，请访问电脑管理软件。