七种隐藏在生活中的“不安全”物联网设备

Tripwire的安全研究和开发高级主管拉马尔·贝利（Lamar Bailey）说："冰箱、个人助理和电视有足够强大的处理能力可用于僵尸网络，或用作闯入网络其余部分的入口点。"Tripwire在概念验证攻击中闯入了许多这样的设备。

ForeScout Technologies的战略主管佩德罗·阿布鲁（Pedro Abreu）表示，这类设备在企业环境下也构成了威胁。比如说，通过办公休息室中的联网冰箱居然可以闯入含有企业数据的系统，许多人可能没有料到这一点。

阿布鲁说："这倒不是为了闯入冰箱，而是为了通过冰箱获得网络访问权。由于联网冰箱连接到企业网络上，又连接到企业应用程序上，黑客就可以钻联网冰箱的空子，获得宝贵的企业数据和客户数据。"

"我们非常关注‘不寻常的嫌疑对象’――乍一看那些设备似乎并没有构成安全风险，但如果你仔细观察一下，就会发现岌岌可危。"

植入式医疗设备

无线联网的植入式医疗设备（比如胰岛素泵、起搏器和除颤器）的安全漏洞让它们成为恶意攻击的诱人目标。近些年来，安全研究人员已表明攻击者如何利用这些设备中未加密、通常薄弱的通信协议来远程控制它们，并且让它们出现可能致命的行为。

2013年，前副总统迪克·切尼的医生甚至禁用了他体内起搏器的无线功能，唯恐攻击者闯入起搏器。

就在今年10月，Rapid7的一名安全研究人员演示了攻击者如何利用Animas胰岛素泵的无线管理协议和配对协议存在的弱点，之后消费品巨头强生公司被迫提醒用户其胰岛素泵可能存在隐患。这个安全漏洞会让攻击者得以远程访问Animas胰岛素泵，并让他们向设备佩戴者释放致命剂量的胰岛素。

Arxan的首席技术官萨姆·雷曼（Sam Rehman）说，实施这种攻击相对不需要费太大的力气。

雷曼说："技术创新将大量产品推向市场，因而加大了攻击面。由于越来越多的设备连接到互联网、打开通信线路，这显然降低了黑客获得访问权、破坏医疗设备所需的难度和技能。"

SCADA系统

很少有人认为用来管理工业控制设备和关键基础设施的监控和数据采集（SCADA）系统是物联网的一部分，但它们确实是物联网的一部分。就像其他许多物联网设备一样，它们也易受攻击。

就在不及前，SCADA系统还没有连接到互联网，因此其实不需要与互联网连接的其他系统那样的同一种安全控制机制。然而，由于近些年来许多SCADA系统开始联网，相对缺乏控制（包括硬编码的密码和糟糕的修补流程）已成为一个大问题。

Rubicon Labs的产品副总裁罗德·舒尔茨（Rod Schultz）说："工业控制器（已安装到位、难以更新的SCADA系统）尤其容易受到攻击。控制任何一种动能（水力、电力和核电）或关键业务信息（比如银行和金融数据）的任何控制系统都被认为是目标。"

针对这些系统的攻击可能会带来严重后果。早在2007年，研究人员就证明了攻击者如何通过攻击控制电网设备的SCADA系统来破坏这类设备。但破坏物理系统不是唯一要担心的。

舒尔茨表示，攻击者可能将中招的SCADA系统用于DDoS攻击或勒索软件攻击。他说："物联网攻击将变成利润中心。当然，金融系统是显而易见的目标，我们将SCADA系统也视作重大的、易受攻击的目标。"

婴儿监视器

用于监视婴儿的消费级产品是另一类易受攻击和危及的物联网设备。

安全厂商Rapid7去年检查了多家厂商提供的几款联网视频婴儿监视器和相关的云服务，结果发现当中存在10个安全漏洞。

发现的问题包括硬编码密码、未加密通信、权限升级、容易猜中的密码、后门帐户以及让攻击者可以篡改设备功能的缺陷。

这些安全漏洞让攻击者得以劫持视频会话，查看存储在云端的视频，或者全面控制婴儿监视器。所有这些缺陷都很容易被人钻空子，让攻击者对中招设备拥有程度不一的远程控制权。

Rapid7在宣布这些安全漏洞时特别指出，这类易受攻击的设备如何对连接到家庭网络的任何计算机构成威胁，包括远程办公人员使用的那些计算机。

Rapid7警告说，被感染的物联网设备可能"被用于通过利用典型家庭网络的不分段、完全信任这一特性，转而攻击其他设备和传统计算机。"

联网汽车

与SCADA系统一样，认为汽车是物联网一部分的人可能也不多。而事实是，现代汽车里面的众多部件通过网络即可访问，暴露在通过网络传播的威胁面前。

与其他许多物联网威胁一样，还没有出现过公开已知的情况：攻击者设法利用联网汽车中保护不力的电子部件来搞破坏。不过安全研究人员已多次演示了这种威胁到底有多么真实。

最引人注目的例子依然来自优步（Uber）