物联网不安全，和裸奔有什么区别？

《流浪地球》热映后，影片中反复出现的提示语由于不押韵，触发一干观众的强迫症，对其印象深刻。

这一魔性洗脑的广告语从电影火到网络，又从网络火到现实中。

IDC预估，今年全球围绕物联网衍生的商机逼近1万亿美元，Counterpoint的IoT服务项目也作出预测，到2019年底，全球物联网蜂窝连接将达到16亿。

万亿级消费市场、连接数量猛增，面对如此情形，耳边响起了那句提示语：

回顾2018年发生在物联网领域内的安全事件，你会觉得，物联网脱掉“安全”的外衣，整个人形同“裸奔”。

全球最大CPU制造商英特尔遭遇“史诗级别”漏洞的冲击

2018年1月3日，Google Project Zero(GPZ)团队安全研究员Jann Horn在其团队博客中爆出CPU芯片的两组漏洞，分别是Meltdown(幽灵)与Spectre(熔断)。

Meltdown漏洞影响几乎所有的Intel CPU和部分ARM CPU，而Spectre则影响所有的Intel CPU和AMD CPU，以及主流的ARM CPU。从个人电脑、服务器、云计算机服务器到移动端的智能手机，都受到这两组硬件漏洞的影响。

IoT僵尸网络阴魂不散

Bitdefender的安全研究人员于2018年1月10日发现一个名为Hide 'N Seek (HNS)的僵尸网络，短短10天时间感染了20000个僵尸主机。研究者发现，HNS不仅具备高度自定义的特征，会对开放Telnet设备发起暴力破解攻击，还能够保持“在设备重启之后恶意软件仍旧存在”。

物联网安全漏洞导致4.96亿设备易受攻击

2018年7月20日，物联网(IoT)安全供应商Armis发布研究报告，称约4.96亿企业设备面临DNS重绑定攻击风险。DNS重绑定攻击可令攻击者通过操纵DNS(域名服务)工作机制获得局域网访问权。

Armis公司表示，物联网以及其他智能设备正是攻击者通过DNS重绑定漏洞进行攻击的完美目标，主要由于其在企业网络中分布较广，在情报收集和数据窃取方面可以发挥惊人的作用。

“毁”掉智慧城市的漏洞达17个之多

2018年8月，IBM研究团队发现，Libelium、Echelon、Battelle三种智慧城市只要系统中存在包括默认密码、可绕过身份验证、数据隐码等安全漏洞达17个之多。利用这些漏洞，攻击者可以控制报警系统、随意篡改传感器数据，甚至连城市交通，都可以受其摆布。

“学院派”黑客盗走特拉斯

比利时KU Leuven大学研究人员发现，通过设备截获读取特拉斯Model S用户遥控钥匙发出的信号，不到两秒钟的时间，遥控钥匙的秘钥就能够被复制。要做到这些，开走特拉斯，只需要600美元的无线电和树莓派等设备。

亚马逊修复物联网操作系统13个安全漏洞

2018年10月，亚马逊修复了物联网操作系统FreeRTO及AWS连接模块的13个安全漏洞。入侵者可以利用这些漏洞破坏设备，获取内存中的内容和远程运行代码，从而完全控制设备。

前不久有媒体发布2019年物联网发展十大预测，其中包括安全状况堪忧预测，内容表示物联网安全事故同比增长近6倍。

物联网所面临的安全问题，主要表现在：

1. 安全隐私

举个栗子，当射频识别技术被用于物联网系统时，RFID标签可以被嵌入任何物品中，日常生活中，人们不会格外注意到这些物品，从而导致物品拥有者在不知情的情况下不受控制地被扫描、定位和追踪。

2. 假冒攻击

相对于传统TCP/IP网络，智能传感终端、RFID电子标签的属性更加“暴露”，传输平台在一定范围内也是“暴露”在空中，“窜扰”在传感网络领域显得非常频繁、并且容易。所以，传感器网络中的假冒攻击是一种主动攻击形式,它极大地威胁着传感器节点间的协同工作。

3. 物联网机器/感知节点的本地安全问题

物联网机器/感知节点多数部署在无人监控的场景中，攻击者就可以轻易地接触到这些设备，从而对它们造成破坏，甚至通过本地操作更换机器的软硬件。

4. 恶意代码攻击

恶意程序在无线网络环境和传感网络环境中存在大量入口，其具备传播性、隐蔽性、破坏性，远比TCP/IP网络更加难以防范。

5. 传输层和应用层的安全隐患

由于物联网在感知层所采集的数据格式多样、海量感知节点数据、多源异构数据，物联网络的传输层和应用层不仅面临现有TCP/IP网络的所有安全问题，还将面临更为复杂的网络安全问题。

另外，在2019年，通过直接互联网接口感染大量设备的攻击、对数据中心和云服务或加密货币挖掘为目的进行的DDoS攻击等针对物联网的攻击途径将会快速增长，表现出来的特性为攻击的复杂性增加，为了尽可能避免物联网安全事故的发生，不仅在网络中采取动作，也要增强设备安全的设计能力。

从全国信息安全标准化技术委员会获悉，有关物联网(IOT)安全技术的27项国家标准近日正式发布，涉及物联网安全的内容包括相关的参考模型及通用要求、感知终端应用安全、感知层网关安全、数据传输安全、感知层接入通信网安全等，自7月1日起实施。

物联网距离我们越来越近，别让安全姗姗来迟。