近日，騰訊安全科恩實驗室發布《2018年IoT安全白皮書》(以下簡稱“白皮書”)指出，在486款最新版本IoT(物聯網)設備固件中，共發現16508個安全風險，其中智能家居設備存在的安全風險數量最多。

平均每款被檢測IoT設備含33.96個風險

隨著物聯網產業的快速發展，越來越多的物聯網設備被應用在人們的生產生活中。

白皮書數據顯示，目前全球物聯網設備數量已達到70億，預計到2020年，活躍的物聯網設備數量將增加到100億。不過，物聯網安全問題也日益突出，引發社會廣泛關注。

對此，騰訊安全科恩實驗室對2018年市場占有率較高的486款最新版本IoT設備固件進行檢測，共發現16508個安全風險，平均每一款被檢測的IoT設備包含33.96個安全風險，其中智能家居設備存在的安全風險數量最多。

固件漏洞風險類型分布圖

白皮書指出，單個設備平均安全風險數量從高到低分別為智能音箱、攝像頭、路由器/交換機、無人機、智能門鎖。如，攝像頭屢屢被曝出針對圖像數據的隱私侵犯以及未授權入侵等安全問題。

“利用這些已存在的IoT設備安全風險，數千萬的IoT設備會受到影響，輕則正常功能被阻塞，無法響應用戶請求，重則被不法分子利用來精心構建完整攻擊鏈路”，白皮書強調，不法分子獲取更高系統權限，可將IoT設備變成公開的密碼本和行走的感染源。

第三方庫的嚴重、高危風險形勢嚴峻

據白皮書介紹，IoT固件安全風險類型主要分為公開安全風險(Nday)和未公開安全風險(0day)，其中公開安全風險占絕大部分，這與IoT廠商在開發生命周期中忽略公開漏洞的排查和修復密切相關。

近年來，由于第三方庫安全問題引發的IoT安全事件不容忽視。簡單來說，第三方庫也就是別人提供的代碼庫。基于節約開發成本、提高開發效率、縮短開發周期的目的，不少IoT開發商會直接使用第三方庫。但是，一些IoT開發商不重視第三方庫的安全性，缺失了針對第三方庫代碼的漏洞審查環節。

安全風險等級分布圖

統計顯示，第三方庫在IoT固體安全方面造成的安全風險數量甚至比App上的情況更為嚴重。在本次檢測統計中，由第三方庫導致的Nday安全風險占比超過發現總量的90%。第三方庫安全風險按等級劃分，目前嚴重、高危比例接近50%。

值得注意的是，第三方庫在版本上的滯后非常明顯。白皮書強調，第三方庫在版本迭代和更新頻率上各不相同，平均滯后版本數量達到了68.75個。甚至，目前被調用的第三方庫中，仍有七種第三方庫沒有團隊維護，這可能會為IoT固件開發埋下安全隱患。

白皮書還指出，開發階段人員安全意識不足，存在使用弱口令、硬編碼密鑰等問題，都非常容易引發嚴重的IoT安全事件。(完)(張旭)

關鍵詞：