企业和消费者有权了解物联网（IoT）设备的安全状况，并且，制造商应该对此负责。

这是Barracuda Networks安全研究人员的观点，近日他们对一款联网安全摄像头进行了研究，借以说明日益严峻的物联网设备安全威胁。

他们的研究表明，网络以及物联网设备移动应用程序中的漏洞可被利用来窃取凭证并感染相关设备。

在没有与设备本身直接连接的情况下，该研究团队能够识别该安全摄像头中的Web应用程序和移动应用程序生态系统中的多个漏洞。

这些研究人员表示，这种威胁可能会影响其他类型的物联网设备，因为它利用了设备与云通信的方式。

出于这个原因，Barracuda认为我们应该采用与机动车安全评级相同的方式，不断对物联网产品的安全状况评分，以便企业和消费者在选择产品时做出明智的决策。

研究人员指出，虽然针对物联网设备的安全隐患，制造商已经作出改进，但仍然存在漏洞。

特别是Barracuda实验室团队展示的物联网凭证感染威胁，其中攻击者可以利用某些物联网设备使用的Web应用程序和移动应用程序中的漏洞获取凭证，然后他们可利用这些凭据来查看视频、设置/接收/删除警报、从云存储中删除已保存的视频剪辑，以及读取帐户信息。

攻击者还可以利用凭证将自己的固件更新推送到该设备，更改其功能并利用受感染的设备攻击同一网络上的其他设备。

这些研究人员发现的主要漏洞包括：

• 移动应用程序忽略服务器证书有效性；
• Web应用程序中可能存在跨站脚本（XSS）攻击；
• 云服务器中可能出现文件目录遍历；
• 用户控制设备更新链接；
• 设备更新没有签名；
• 设备忽略服务器证书有效性。

研究人员警告说，如果攻击者可通过受感染或恶意网络拦截发送到移动应用程序的流量，他们便可轻松获取用户密码。

当受害者使用移动电话连接到受感染/恶意网络时，联网摄像头应用程序将尝试通过https连接到供应商的服务器。然后，恶意/受感染网络将该连接路由到攻击者的服务器，该服务器将使用自己的SSL证书代理与供应商服务器的通信。攻击者的服务器便可获取用户密码未经过salt的MD5哈希值。攻击者还可以篡改供应商服务器和该应用程序之间的通信。

攻击者从Web应用程序获取凭据是基于，用户可以与其他用户共享对联网相机的访问权限。为了共享设备，接收方需要拥有IoT供应商的有效帐户，并且发件人需要知道接收方的用户名，该用户名恰好是电子邮件地址。然后，攻击者可在设备名称中嵌入XSS漏洞，然后与受害者共享该设备。

一旦受害者通过Web应用程序登录其帐户，XSS漏洞就会执行并与攻击者共享访问令牌（在Web应用程序中存储为变量）。通过该访问令牌，攻击者便可访问受害者的帐户及其所有已注册的设备。

通过这项研究，Barracuda Labs团队成功地感染了联网摄像头，而没有直接连接到该设备本身。

研究人员称，这会使攻击者的工作更加轻松。他们不再需要扫描Shodan搜索引擎以查找易受攻击的设备，因为他们可针对供应商的基础设施执行攻击。

研究人员强调，这种漏洞并不在于产品，而是在于流程、技能以及开发人员的安全意识。他们表示，随着物联网设备的访问和访问控制转移到云服务，漏洞也会随之而来，这也会使Barracuda实验室团队发现的攻击类型成为可能。

研究人员指出，物联网产品和服务的供应商应该全方位保护运行这些设备的应用程序，其中包括分布在办公室、家庭和学校中的传感器，避免它们使其攻击者的潜在切入点。

然而，物联网供应商需要部署的最重要的保护措施之一是Web应用防火墙，它旨在保护服务器免受7层网络（应用层）的HTTP流量的影响。制造商还需要加强抵御网络层攻击和网络钓鱼。

另外，云安全也很重要，因为它可提供对物联网应用程序及其运行的基础架构的可见性、保护和补救措施。研究人员说，横向移动暴露的可能性很大且很复杂，因此这里的关键是采取适当的安全预防措施。

研究人员建议，在购买物联网设备时，企业和消费者应该考虑安全性，以及便利性和价格。他们建议：

研究设备制造商

在物联网设备制造商中，很少制造商了解软件安全性。他们大多数是擅长制造联网的实体产品的现有公司，或者试图尽快将设备推向市场的初创公司。研究人员说，对于这两种公司，通常都会忽略适当的软件和网络安全措施。

寻找供应商其他设备中的现有漏洞

研究人员表示，如果一款设备有漏洞，则同一家公司具有类似功能的其他设备也可能易受到攻击。这就是说，在未来，拥有安全设备制造历史的供应商可能会构建安全设备。

评估对过往漏洞的响应情况

研究人员表示，如果供应商会对所报告漏洞做出响应，并通过固件更新快速解决漏洞，那么，这预示着其安全性和未来产品的良好前景。

他们指出，遗憾的是，有关物联网设备安全状况的可用信息量非常低。他们说：“理想情况下，我们需要建立物联网产品安全评级的世界。”

对于物联网对企业的安全风险，数字安全公司Gemalto本月早些时候发布的一项调查显示，只有48%的欧洲公司可以检测到他们的联网设备何时遭到攻击。而在英国，这一数字降至42%，欧洲第二低，仅次于法国，法国只有36%的公司表示他们可以检测到物联网设备是否遭受攻击。

Gemalto公司数据保护首席技术官Jason Hart在评论调查结果时表示，由于没有一致的监管指导该行业，企业面临的威胁和漏洞不断增加，这不足为奇。

“除非政府现在介入以帮助行业避免失去控制权，否则这只会继续下去，”他补充说，尽管英国新的Code of Practice是​​确保物联网安全的良好开端，但只有当强制执行且所有企业都必须遵守该法规才会真正有效。

2018年11月，在布鲁塞尔举行的EEMA ISSE 2018网络安全会议上，物联网安全研究员Ken Munro还呼吁政府采取行动。

和Hart一样，他说英国Code of Practice是一个良好的开端，但Munro认为还有很长的路要走，他希望看到一些基本的监管。