camTVbulbrouterDVRlockechothermodefault credentials → botnetMirai pattern, still works

物联网安全

11 最小阅读量安全

物联网设备附带默认密码,永远不会获得固件更新,并且在制造商停止关心后仍会在网络上保留多年。这些特性结合起来,创造了互联网上有史以来最大的僵尸网络大军——Mirai、Mozi 及其后继者。物联网安全的故事就是规模和安全性如何未能找到彼此的故事。

完整的文章正文以英文提供如下。

IoT(物联网)安全 涵盖笔记本电脑、手机或传统服务器以外的网络连接设备的保护——相机、路由器、智能扬声器、恒温器、门铃、灯泡、婴儿监视器、工业传感器。该类别从 2015 年的几亿台设备激增到 2026 年的超过 250 亿台,而安全状况却没有跟上。

为什么物联网安全性特别糟糕

四个结构性原因:

  • 利润微薄。 20 美元的 IP 摄像机在价格上竞争;制造商没有安全工程或长期支持的预算。
  • 默认凭据。 大多数设备附带管理员/管理员、管理员/密码或每个供应商默认的记录。许多用户从未更改过它们。
  • 更新机制丢失或损坏。 许多设备没有自动更新;有些有需要手动下载和安装的更新;有些有制造商在 1-2 年后停止发布的更新。
  • 默认连接。 许多 IoT 设备会自动连接到云服务,需要绕过 NAT 的入站路径或持久出站连接。

Mirai 故事

2016 年Mirai 僵尸网络危害了数十万个物联网设备(主要是 DVR 和 IP 摄像机),并使用它们对 Krebs on Security、OVH 和 DNS 提供商 Dyn 进行创纪录的 DDoS 攻击(导致半数消费者互联网瘫痪数小时)。

Mirai 方法并不复杂:在互联网上扫描端口 23/22 上的 telnet/SSH,尝试一小部分列表出厂默认用户名/密码对,如果成功则安装机器人。没有漏洞利用,没有零日漏洞,也没有巧妙的技巧。该漏洞是“该设备附带 admin/admin 并且位于公共互联网上”。仅这一点就足以造成数十万次感染。

Mirai 的源代码于 2016 年底被公开泄露。随后出现了数十种衍生品——Hajime、Persirai、Reaper、Mozi、IZ1H9。同样的攻击模式在 2026 年也将发挥作用;仅设备目标和凭据列表发生变化。

主要 IoT 漏洞类别

  • 默认或硬编码凭据。 仍然是最常见的。
  • Internet 上暴露的管理界面。 可从以下位置访问 Telnet、SSH、HTTP 管理面板
  • 过时的软件。 嵌入式 Linux 发行版的内核安全更新已过去数年。
  • 内存损坏漏洞。 C 和 C++ 嵌入式代码,没有现代缓解措施(没有 ASLR,某些平台上没有堆栈金丝雀)。
  • 不安全的云服务。 通过缺乏身份验证的 API 与供应商云通信,暴露其他用户的设备。
  • 物理攻击面。 调试标头、JTAG、暴露的串行、未加密的闪存存储。

生命周期问题

您在 2026 年购买的典型安全摄像头具有:

  • 1–3 年来自制造商的固件更新(如果有)
  • 网络上的使用寿命为 5–10 年
  • 更新停止时没有提醒您的机制

更新停止后,设备继续工作,但会累积未修补的漏洞。用户没有收到任何错误信号。该设备很高兴受到损害,并且可以通过互联网访问多年。

监管机构正在做什么

政策响应已经开始:

  • EU网络弹性法案(2026年生效)强制要求在网络中销售的联网产品的安全要求、漏洞处理和安全更新承诺EU.
  • UK 产品安全和电信基础设施法案 (2022) 禁止默认凭证设备并要求公开支持期限。
  • California SB-327 (2020) 要求“合理”的安全功能和独特的默认设置
  • FCC 的网络信任标记(美国,2024-2026 年推出)— 合规设备的自愿标签。

对市场的影响缓慢但明显:主要制造商(TP-Link、Netgear、Eufy)已开始运输具有唯一随机初始密码和至少已宣布更新的设备windows.

作为用户您可以执行的操作

  • 更改默认密码。 每个设备的第一步。
  • 禁用管理接口的 Internet 暴露。 如果不需要从外部访问摄像机,请勿端口转发到它。
  • 分段network. 用于 IoT 设备的单独 VLAN/SSID,与笔记本电脑和手机隔离。大多数消费者路由器现在都支持访客网络;
  • 更新固件。定期检查;许多供应商不会自动推送。
  • P更推荐有记录更新承诺的设备。 发布支持时间表的品牌比那些不发布支持时间表的品牌更可靠。
  • 尽可能从主要供应商处购买。 亚马逊上 7 美元的无名相机几乎肯定不如 40 美元的 Eufy 或 Ring 产品安全。并非总是如此,但平均而言。
  • 替换废弃的设备。 当更新停止时,设备应该退役,而不是继续运行。

常见问题

我的智能家居设备是否在监视我?
是的,有些是设计的。智能扬声器监听唤醒词并在触发时将音频样本发送到云端。智能相机可以将视频流传输到云存储。隐私控制因供应商而异;苹果、亚马逊和谷歌发布了详细的隐私政策,但实施历史参差不齐。购买前请检查设备的设置和供应商的政策。
我的智能设备可以用来攻击其他网站吗?
是的,如果受到损害。受感染的 IoT 设备会加入出租用于 DDoS 攻击的僵尸网络。您不会注意到该活动,除非在攻击窗口期间互联网速度可能很慢。 Mirai 模式至今仍适用于许多消费设备。
我应该将 IoT 设备放在单独的网络上吗?
是的。许多消费者路由器提供访客网络,阻止物联网设备访问其他 LAN 设备。其中一些支持适当的 VLAN 或专用物联网段。网络分段可以限制设备受到损害时造成的损害——它可以攻击互联网,但不能攻击您的笔记本电脑。
物联网设备应该多长时间接收安全更新?
行业良好实践至少是设备的预期寿命——相机等产品为 5 年以上,路由器和大型电器为 7 年以上。大多数供应商都远远达不到这一要求。在产品规格中寻找书面承诺;缺乏承诺是一个黄旗。
开源固件更安全吗?
有时。 OpenWrt、Tasmota、Home Assistant ESPHome 为您提供某些设备类别的长期支持的替代方案。安全性大致与上游维护者一样好——通常比废弃的供应商固件好,但并不神奇。兼容硬件列表告诉您哪些设备支持替换固件。
物联网安全解释:为什么您的智能相机加入僵尸网络