我们需要从重视产品中可见的新功能转变为重视产品的安全设计。经过多年的物联网发展,已经从孤立的新奇黑客新闻,如菲利普使用无人机的Hue黑客,逐渐转变为具有严重影响的持续安全漏洞。
我的建议是--在购买和使用任何物联网设备之前,如果你担心安全问题,可以采取这几个额外的步骤来帮助你放松警惕。
公司研究
第一步是研究创造你所需产品的公司。请记住,通过将设备连接到你的整个生态系统,你将隐含着对他们的信任。这一步将需要一些积极的搜索,因为信息可能不容易被发现。通常情况下,排名靠前的搜索结果将是该公司销售的任何安全产品,而不是他们的安全开发实践或任何涉及其产品发生的安全漏洞的新闻文章。
你要验证是否与公众和安全研究人员围绕安全功能进行了积极的沟通。应该有一个简单的方法来提交问题或bug,公司网站应该为用户提供一个状态页面,并根据最新事件进行更新。例如,Phillip's公司有一个安全页面,提供提交安全社区发现的bug的链接,并为消费者提供关于安全更新和FAQ页面的链接,以教育和提供步骤,确保产品有最新的代码更新。
意识到产品的更新期限
下一步将是让自己了解对你所需设备的安全支持何时结束。所有连接的设备都有一个由公司定义的支持时间框架。与其他设备不同的是,连接设备的功能寿命不应该是最重要的,安全支持只覆盖设备寿命的一小部分,这种情况并不罕见。就像公司的安全开发实践一样,安全支持结束的政策通常不容易在公司的网站上发现。幸运的是,用设备的名字搜索 "结束支持政策",应该可以引导你找到正确的方向。
隔离设备
最后一个简单而又重要的步骤是家庭或企业生态系统的设置。作为消费者,我们需要意识到,不是所有东西都应该在同一个Wi-Fi上。连接的设备很容易被共享同一Wi-Fi连接的其他设备发现。虽然这听起来可能微不足道,甚至是可取的,但这就是黑客能够利用一个设备来攻击另一个设备的方式。这就是所谓的链式漏洞。隔离设备可以简单到让智能设备连接到路由器上的默认 "访客 "网络,也可以复杂到为设备创建和配置一个(多个)新网络。
这并不是说要阻止你享受物联网设备!这些设备是为了让你的生活更美好。这些设备是为了让你的生活更轻松,但重要的是要认识到,像你的电脑和移动设备一样,恶意行为者仍然可能试图渗透它们。还有一个很大的可能性是,有一些安全缺陷在你购买产品的时候没有被发现,所以记得保持你的设备更新,以便这些缺陷被发现时可以被修复。
-Lauren Mitchell,AWH的软件开发团队负责人
物联网安全》最初发表在《Dev Genius》杂志上,人们通过强调和回应这个故事来继续对话。
