物联网智能设备存在严重的设计缺陷

普林斯顿大学的安全研究专家们对大量的物联网智能设备进行了分析和研究，并且从这些设备中发现了严重的设计缺陷。而且相应的设备制造商在得知了这些信息之后，也并没有对这些问题给予足够的重视。

Sarthak Grover是一名博士生，他和他的朋友Rova Ensafi(信息技术决策中心的一名安全专家)在进行了研究之后表示，他们所测试的设备中并没有部署适当的安全保护措施，这些设备所采用的加密方式可靠性非常低，而且还有可能会泄漏用户的隐私数据。

他们的在2016年PrivacyCon大会上公布了他们的研究报告，如果大家想要了解更多的相关信息，请点击这里获取。

正如研究人员所描述的那样，在物联网设备行业中，充斥着大量的菜鸟程序员。在为物联网设备开发相应功能时，他们经常会犯新手常犯的错误，而且还会在硬件层面上做一些不安全的事情。即便两个设备在同一网络中进行网络通信，其中的通信数据也有可能被窃取。

Grover在PrivacyCon大会上表示：“即使你的设备不具备网络通信能力，你的信息也会被发送到云端。”

大家可以在TouTube上观看Grover在PrivacyCon大会上的演讲，视频地址如下：

https://www.youtube.com/watch?v=-778aD_XVKI

研究人员对下列设备进行了测试：Nest恒温设备、贝尔金WeMo智能开关、UBI扬声器、Sharx安全照相机、PixStar智能相框和一个SmartThings的集线器。

在这些物联网设备中，只有SmartThings集线器和WeMo智能开关的安全测试分数能够勉强及格，因为它们所使用的默认加密方式相较于其他设备而言，是比较安全的。在这两个设备中，唯一可能会泄漏用户信息的就是DNS的查询过程。除此之外还需要注意到的是，这些物联网设备都不会对与它进行连接的个人设备进行安全验证。

Nest公司的工作人员发现了该公司的设备会以明文的形式自动发送设备当前的地理位置信息，随后便发布了相应的更新补丁来修复这一问题。而UBI，Sharx和PixStar却对它们设备中存在缺陷的加密方式不以为然。

如果你购买了一个智能相框，那么你的处境就相当危险了。你可以仔细想想：这种愚蠢的智能设备会将你的数据同步至供应商的服务器中，并且还会以明文的形式传递用户的电子邮箱信息。除此之外，这种设备还会将用户当前的活动信息通过未经加密的HTTP GET命令来发送给供应商。

UBI设备之所以要放在房间中墙角的位置，那是因为它们不仅会以明文的形式发送用户的电子邮箱地址，而且它还能够向窃听者传递信息，不法分子可以通过这些信息来判断你的家中是否有人。即使你的设备支持HTTPS安全传输协议，声音，温度，光感，以及湿度等数据仍然会通过未经加密的HTTP GET来进行发送。

安全专家们在对上述设备进行了详尽的研究之后还指出，这些设备所采用的安全加密方式并不能够防止用户隐私数据的泄漏。比如说，任何需要与网络进行通信的物联网设备都需要向上级DNS服务器发送DNS查询请求，而在DNS查询的过程中就有可能泄漏用户的信息。

对于所有能够截获物联网设备通讯信息的不法分子而言，这些通信流量也是一个非常好的资源，因为他们可以利用这些信息来对相应的用户和设备进行分析。

在研究人员所发现的所有“案例”(即他们所进行的测试)中，仅仅是一个DNS查询请求就足以泄漏用户的信息了。

（来源：360安全播报）