最全面的2017物聯網安全事件盤點

時間 2019-11-26

原文原文鏈接

1、智能玩具泄露200萬父母與兒童語音信息

今年3月，Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數據泄露，敏感客戶數據庫受到惡意入侵。這次事故泄露信息包括玩具錄音、MongoDB泄露的數據、220萬帳戶語音信息、數據庫勒索信息等。這些數據被保存在一套未經密碼保護的公開數據庫當中。數據庫

Spiral Toys公司將客戶數據庫保存在可公開訪問的位置以外，還利用一款未經任何驗證機制保護的Amazon託管服務存儲客戶的我的資料、兒童姓名及其與父母、親屬及朋友間的關係信息。只須要了解文件的所處位置，任何人都可以輕鬆獲取到該數據。安全

2015年11月，香港玩具製造商VTech就曾遭遇入侵，近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。就在一個月後，一位研究人員又發現美泰公司生產的聯網型芭比娃娃中存在的漏洞可能容許黑客攔截用戶的實時對話。服務器

2、基帶漏洞可攻擊數百萬部華爲手機

今年4月，安全公司Comsecuris的一名安全研究員發現，未公開的基帶漏洞MIAMI影響了華爲智能手機、筆記本WWAN模塊以及loT(物聯網)組件。網絡

基帶是蜂窩調制解調器製造商使用的固件，用於智能手機鏈接到蜂窩網絡，發送和接收數據，並進行語音通話。攻擊者可經過基帶漏洞監聽手機通訊，撥打電話，發送短信，或者進行大量隱蔽，鮮爲人知的通訊。異步

該漏洞是HiSliconBalong芯片組中的4G LTE調制解調器(俗稱貓)引起的。Hisilion科技是華爲的一個子公司，同時Balong應用處理器叫作:Kirin。測試

這些有漏洞的固件存在於華爲榮耀系列手機中。研究人員沒法具體肯定有多少設備受到了這個漏洞的影響。他們估計有數千萬的華爲智能手機可能收到攻擊。僅在2016年第三季度銷售的3300萬元的智能手機中，其中就有50%使用了這個芯片。編碼

3、三星Tizen操做系統存在嚴重安全漏洞

今年4月，三星Tizen操做系統被發現存在40多個安全漏洞，Tizen操做系統被應用在三星智能電視、智能手錶、Z系列手機上，全球有很多用戶正在使用。加密

這些漏洞可能讓黑客更容易從遠程攻擊與控制設備，且三星在過去8個月以來一直沒有修復這些三星在產品測試中編碼錯誤所引發的漏洞。安全專家狠批其程序代碼早已過期，黑客能夠利用這些漏洞自遠程徹底地控制這些物聯網裝置。操作系統

值得一提的是三星目前大約有3000萬臺電視搭載了Tizen系統，並且三星更是計劃到今年年末以前有1000萬部手機運行該系統，並但願藉此減小對Android系統的依賴，但很顯然Tizen如今仍不安全。調試

4、無人機屢次入侵成都雙流國際機場

今年4月，成都雙流連續發生多起無人機(無人飛行器)黑飛事件，致使百餘架次航班被迫備降或返航，超過萬名旅客受阻滯留機場，經濟損失以千萬元計，旅客的生命安全和損失更是遭到了巨大的威脅。

無人機已經進入人們的工做和生活。不只在國防、救援、勘探等領域發揮着愈來愈重的做用，更成爲物流、拍攝、旅遊等商業服務的新模式。一臺無人機由通訊系統、傳感器、動力系統、儲能裝置、任務載荷系統、控制電路和機體等多個模塊組成。與咱們日常使用的智能手機、平板電腦同樣，在系統、信號、應用上面臨各種安全威脅。

在今年11月份的一次安全會議上，阿里巴巴安全研究人員作了遠程劫持無人機的演示，一個專業人員無需軟件漏洞就能Root（得到管理員權限）無人機。而就在1年前的2016年黑帽安全亞洲峯會上，IBM安全專家也演示了遠程遙控兩千米內的無人機起飛的案例，攻擊者只須要多掌握一點無線電通訊的基礎知識就可以完成劫持操做。

5、Avanti Markets自動售貨機泄露用戶數據

今年七月，美國自動售貨機供應商 Avanti Markets遭遇黑客入侵內網。攻擊者在終端支付設備中植入惡意軟件，並竊取了用戶信用卡帳戶以及生物特徵識別數據等我的信息。該公司的售貨機大多分佈在各大休息室，售賣飲料、零食等副食品，顧客能夠用信用卡支付、指紋掃描支付或現金支付的方式買單。Avanti Markets的用戶多達160萬。

根據某位匿名者提供的消息，Avanti 沒有采起任何安全措施保護數據安全，連基本的 P2P 加密都沒有作到。

事實上，售貨終端以及支付終端等IoT設備遭遇入侵在近幾年彷佛已成爲屢見不鮮。支付卡機器以及POS終端之因此備受黑客歡迎，主要是由於從這裏竊取到的數據很容易變現。遺憾的是，POS終端廠商老是生產一批批不安全的產品，並且只在產品上市發佈以後才考慮到安全問題。

6、17.5 萬個安防攝像頭被曝漏洞

今年八月，深圳某公司製造的17.5萬個物聯網安防攝像頭被爆可能遭受黑客攻擊，這些安防攝像頭能夠提供監控和多項安全解決方案，包括網絡攝像頭、傳感器和警報器等。

安全專家在該公司製造的兩個型號的安防攝像頭中找到了多個緩衝區溢出漏洞。這些安防攝像頭都是通用即插即用（UPnP）設備，它們能自動在路由器防火牆上打開端口接受來自互聯網的訪問。

安全專家注意到，兩款安防攝像頭可能會遭受兩種不一樣的網絡攻擊，一種攻擊會影響攝像頭的網絡服務器服務，另外一種則會波及 RSTP（實時串流協議）服務器。

研究人員稱這兩款安防攝像頭的漏洞很容易就會被黑客利用，只需使用默認憑證登錄，任何人都能訪問攝像頭的轉播畫面。同時，攝像頭存在的緩衝區溢出漏洞還使黑客能對其進行遠程控制。

7、超1700對臺IoT設備Telnet密碼列表遭泄露

今年八月，安全研究人員 Ankit Anubhav 在 Twitter 上分享了一則消息，聲稱超 1700 臺 IoT 設備的有效 Telnet 密碼列表遭泄露，這些密碼能夠被黑客用來擴大僵屍網絡進行 DDoS 攻擊的動力來源。

這份列表中包含了33138 個IP地址、設備名稱和telnet密碼，列表中大部分的用戶名密碼組合都是」admin:admin」或者」root:root」等。這整份列表中包含143種密碼組合，其中60種密碼組合都來自於Mirai Telnet掃描器。GDI 研究人員在分析了上述列表後確認它由 8200 個獨特 IP 地址組成，大約每 2.174 個 IP 地址是經過遠程登陸憑證進行訪問的。然而，該列表中的 61％ IP 地址位於中國。

該列表最初於今年 6 月在 Pastebin 平臺出現，早期名單的泄露者與此前發佈有效登陸憑據轉儲、散發僵屍網絡源代碼的黑客是同一人。當天正值七夕，簡直就是國內黑客們的七夕禮物。

8、藍牙協議爆嚴重安全漏洞，影響53億設備

物聯網安全研究公司Armis在藍牙協議中發現了8個零日漏洞，這些漏洞將影響超過53億設備——從Android、iOS、Windows以及Linux系統設備到使用短距離無線通訊技術的物聯網設備，利用這些藍牙協議漏洞，Armis構建了一組攻擊向量(attack vector)「BlueBorne」，演示中攻擊者徹底接管支持藍牙的設備，傳播惡意軟件，甚至創建一個「中間人」（MITM）鏈接。

研究人員表示，想要成功實施攻擊，必備的因素是：受害者設備中的藍牙處於「開啓」狀態，以及很明顯的一點，要儘量地靠近攻擊者的設備。此外，須要注意的是，成功的漏洞利用甚至不須要將脆弱設備與攻擊者的設備進行配對。

BlueBorne能夠服務於任何惡意目的，例如網絡間諜、數據竊取、勒索攻擊，甚至利用物聯網設備建立大型僵屍網絡（如Mirai僵屍網絡），或是利用移動設備建立僵屍網絡（如最近的WireX僵屍網絡）。BlueBorne攻擊向量能夠穿透安全的‘氣隙’網絡（將電腦與互聯網以及任何鏈接到互聯網上的電腦進行隔離），這一點是其餘大多數攻擊向量所不具有的能力。

9、WPA2爆嚴重安全漏洞，黑客可任意讀取信息

今年10月，有安全專家表示WiFi的WPA2（WPA2是一種保護無線網絡安全的加密協議）存在重大漏洞，致使黑客可任意讀取經過WAP2保護的任何無線網絡的全部信息。

據發現該漏洞的比利時魯汶大學計算機安全學者馬蒂·凡赫爾夫（Mathy Vanhoef）稱：「咱們發現了WPA2的嚴重漏洞，這是一種現在使用最普遍的WiFi網絡保護協議。黑客可使用這種新穎的攻擊技術來讀取之前假定爲安全加密的信息，如信用卡號、密碼、聊天信息、電子郵件、照片等等。」

據悉，該漏洞名叫「KRACK」，存在於全部應用WPA2協議的產品或服務中。其中，Android和Linux最爲脆弱，Windows、OpenBSD、iOS、macOS、聯發科技、Linksys等無線產品都受影響。

「KRACK」漏洞利用有必定侷限性，好比，須要在正常WiFi信號輻射到範圍內。另外，該漏洞可讓中間人竊取無線通訊中的數據，而不是直接破解WiFi的密碼。

10、智能家居設備存在漏洞，吸塵器秒變監視器

今年11月，Check Point研究人員表示LG智能家居設備存在漏洞，黑客能夠利用該漏洞徹底控制一個用戶帳戶，而後遠程劫持LG SmartThinQ家用電器，包括冰箱，乾衣機，洗碗機，微波爐以及吸塵機器人。

LG智能家居的移動端應用程序容許用戶遠程控制其設備（包括打開和關閉它們）。例如，用戶能夠在回家前啓動烤箱和空調，在進超市前檢查智能冰箱中還有多少庫存，或者檢查洗衣機什麼時候完成一個洗衣循環。當用戶離開時，不管設備是開啓的仍是關閉的，網絡犯罪分子均可以獲得一個完美的入侵機會，並將它們轉換爲實時監控設備。

研究人員演示了黑客經過控制安裝在設備內的集成攝像頭將LG Hom-Bot變成一個間諜。他們分析了Hom-Bot並找到了通用異步收發傳輸器（UART）的鏈接，當鏈接被找到時，研究人員就能夠操縱它來訪問文件系統，一旦主進程被調試，他們就能夠找到啓動Hom-Bot與SmartThinQ移動端應用程序之間用於通訊的代碼了。

迄今爲止LG已售出超過100萬臺Hom-Bot吸塵器，但並不是全部型號都具備HomeGuard安全監控功能。

11、美國交通指示牌被攻擊，播放反特朗普語言

今年12月，位於達拉斯北中央高速公路附近的一個電子交通指示牌遭到了不明黑客的攻擊。標誌牌的顯示內容遭到了篡改，被用於顯示針對美國現任總統唐納德·特朗普（Donald Trump）以及其支持者的侮辱性言語。

事件發生在週五晚上，這些信息被持續不間斷地循環播放，並一直持續到週六早上。如此一塊指示牌不只震驚了人們，還形成了交通擁堵，由於大多數司機決定停下來「拍照留念」。值得注意的是，這並非美國首次遭遇電子交通指示牌被黑客攻擊事件。在2015年12月，特朗普的一位支持者在位於加利福尼亞州科羅納市的一個高速公路牌上留下了「爲唐納德·特朗普投票（Vote Donald Trump）」的消息。

安全專家表示，攻擊電子交通指示牌是很簡單的。由於，它們的控制後臺老是採用默認密碼，並提供有關如何打開控制檯電源、關閉標誌顯示、關閉快速消息以及建立自定義消息的說明。