巫光毅消费类物联网IoT的安全实现（13页）.pdf

1、消费类IoT网络安全实现巫光毅巫光毅TUV莱茵物联网时代德国电信研究估计，2021年全球将会有380亿物联网设备上线。其中1/3为智能家居家电，1/3为智慧城市。消费类物联网智能电视智能监控智能家电智能照明无线设备智能传感器智能可穿戴智能机器人智能控制无人机智慧中控智能玩具海量设备进入家庭的情况下，到底有多少“好”产品。IP摄像头弱点暴露opentopia、geocam、insecam等网站可以在线看到网络摄像头监控画面。这些摄像头有室内的、室外的、道路监控、商场和酒店监控等。个人隐私保护全球数据保护法和网络安全法CCPA，加州消费者隐私保护法CAAB 1906 联网设备安全法GDPR，通用数

2、据保护法案EU cybersecurity Act个人信息保护法Telecommunications Business ActTechnology Evaluation Certification(TEC)Privacy Amendment(Notifiable Data Breaches)Act 2017PIPEDA，个人信息及电子资料保护法Data Protection Act 2018消费类IoT安全风险发现风险:使用明文协议造成的危害：网络中的攻击者可能能够窃听通信信道，访问甚至操纵敏感信息。建议的修复方式：敏感数据的传输都使用最新的加密协议。消费类IoT安全风险发现风险:UART接口

3、开放，并且可以使用root shell造成的危害：攻击者可以连接到调试接口，并可以全权访问硬件设备。建议的修复方式：禁用UART访问或者增加设备访问凭证消费类IoT安全风险发现风险:固件逆向造成的危害：固件可以被逆向。可能暴露硬编码凭证，并且暴露更多的攻击界面。建议的修复方式：固件加密。常见风险弱密码、密码重置明文传输本地明文存储Portal权限设置开放debug端口不安全函数不安全TLS配置不安全的运行库消费类IoT安全规范没有通用默认密码保持软件更新安全存储凭据和敏感数据安全传输最大限度地减少暴露的攻击面确保软件完整性检查系统遥测数据验证各渠道输入数据安全实现，基于规范化开发。SDLC流程需求发布测试开发安全实现，也基于规范化流程。巫光毅TUV莱茵深圳Tel:+18025477830