IT技術互(hu)動(dong)交(jiao)流平台

lol外围官网

作者︰佚名  發布(bu)日期︰2020-02-27 13:21:23

本文就來談(tan)一下(xia)智能電(dian)視(shi)普遍存在的安(an)全風險以(yi)及解決方案。
      

  隨著近幾(ji)年智能家居(ji)的興si)穡 悄艿dian)視(shi)憑借功能多、智能化的優勢,逐(zhu)漸(jian)得到市(shi)場的認可,正如(ru)當(dang)年智能手機的發展(zhan),目前(qian)智能電(dian)視(shi)仍(reng)處于(yu)市(shi)場普及階段wei) 悄芑 吹陌an)全隱患,還(huai)遠不被人(ren)們重視(shi),所以(yi)其安(an)全防御水平遠遠落後于(yu)智能手機和桌面計算機,從(cong)而成為網絡犯罪(zui)分(fen)子you)碌墓?髂勘輟br />  壹、智能電(dian)視(shi)可能面臨的安(an)全威脅
  本文從(cong)智能電(dian)視(shi)安(an)全風險來源進行分(fen)類介紹智能電(dian)視(shi)面臨的安(an)全風險。
      

  (1)來自存儲媒介或者系統漏洞的安(an)全風險
  病(bing)毒(du)感染
  存儲媒介中保存的內容如(ru)果包含(han)病(bing)毒(du)則會造成病(bing)毒(du)感染。
  系統或應用漏洞
  目前(qian)70%以(yi)上的智能電(dian)視(shi)都采(cai)用的Android,或在Android的基礎(chu)上進行修改,由于(yu)Android系統che)母叨du)開放性(xing),使得對其進行漏洞挖掘更加容易。另(ling)外,為了方便用戶能直接通過電(dian)視(shi)和家人(ren)一起視(shi)頻聊天,很多電(dian)視(shi)都適配了攝像頭,但這也給電(dian)視(shi)裝上了一只眼(yan)楮(jing)。同時再加上語音、錄(lu)音功能,從(cong)而使得電(dian)視(shi)機上擁有(you)的攝像頭成了黑(hei)客們用來窺探用戶隱私jiang)墓gong)具(ju)。
  三星的智能電(dian)視(shi)產(chan)品(pin)曾經(jing)就爆出過一個(ge)高危(wei)安(an)全漏洞,駭(hai)客通過漏洞侵入(ru)賬(zhang)戶,安(an)裝一個(ge) rootkit,即可控(kong)制整台設(she)備。這個(ge)漏洞可以(yi)來自于(yu)任何一個(ge)應用,利用這個(ge)漏洞,入(ru)侵zhong)嚦梢yi)使用電(dian)視(shi)上的攝像頭,檢測客廳中的影像,從(cong)而監視(shi)機主生(sheng)活。另(ling)外,還(huai)能將瀏覽器(qi)跳轉向釣魚網站,誘導用戶獲取銀行賬(zhang)號密碼和其他信息(xi),從(cong)而使得財(cai)務面臨安(an)全問題。
  (2)來自用戶操作的威脅
  貫穿于(yu)設(she)備生(sheng)命周期中的用戶操作產(chan)生(sheng)的安(an)全威脅包括以(yi)下(xia)lu)ji)個(ge)方面︰
  誤配置
  使用無線網絡或者互(hu)聯網的時候安(an)全參(can)數進行了不恰(qia)當(dang)的配置,就會增加被竊(qie)听(ting)和未授權訪(fang)問的風險。
  操作錯誤
  如(ru)果用戶在使用某些功能時操作錯誤,就可能造成用戶無意識的信息(xi)泄漏(如(ru)發送(song)郵(you)件給錯誤的接you)  蛘嚀砑恿舜砦蟺母郊
  存儲數據泄漏
  用戶存儲在智能電(dian)視(shi)上的內容可能會泄漏。這種安(an)全風險在很多情況下(xia)lu)伎贍芊?sheng),如(ru)未授權訪(fang)問設(she)備,或通過網絡傳(chuan)輸敏(min)感xin)諶藎 蛘咼min)感數據在處理完後並沒有(you)及時刪除(chu)。
  用戶信息(xi)泄漏
  存儲在智能電(dian)視(shi)上的用戶信息(xi)可能被泄漏。用戶信息(xi)指的是用戶和智能電(dian)視(shi)的操作者創建的所有(you)存儲在智能電(dian)視(shi)上的信息(xi),包括個(ge)人(ren)信息(xi),機密信息(xi)(用戶憑證,如(ru)ID和密碼)和私人(ren)信息(xi)(泄漏某些關于(yu)用戶信息(xi)的數據,包括操作日志和服務歷史使用情況)。泄漏途徑du))中所提到jiang)囊謊br />  (3)來自網絡的威脅
  病(bing)毒(du)感染
  智能電(dian)視(shi)之所以(yi)被稱之為智能,就是因為他具(ju)備了互(hu)聯網特(te)性(xing),可以(yi)上網瀏覽lan)髦滯ye),但是一huai)┤臚緗薪庸旌螅 敲此捅厝換崦媼倌韭聿bing)毒(du)的危(wei)害(hai)。用戶在發送(song)、接you)沼you)件,訪(fang)問web站點(dian),從(cong)互(hu)聯網下(xia)載東(dong)西(xi)的時候都可能會使智能電(dian)視(shi)感染上病(bing)毒(du)。如(ru)果你(ni)平時有(you)電(dian)視(shi)付費yan)骯叩幕埃 熱ru)說在電(dian)視(shi)上支(zhi)付水電(dian)煤氣費、開通某些電(dian)視(shi)業務、電(dian)視(shi)商城購物(wu),那麼很有(you)可能在不經(jing)意間就丟失了自己(ji)的個(ge)人(ren)信息(xi)甚至于(yu)財(cai)產(chan)。
  通信劫持(chi)
  在家里,智能電(dian)視(shi)和其他媒體(ti)設(she)備,或者智能電(dian)視(shi)和web服務器(qi)以(yi)及廣播(bo)站之間的通信,都可能被嗅探jiao)蚪儷chi)。
  未授權訪(fang)問
  攻擊者可能通過端口(kou)掃描,漏洞利用或者欺騙攻擊來竊(qie)取信息(xi)或者造成系統破(po)壞(huai)。
  拒絕(jue)服務攻擊
  攻擊者通過對為智能電(dian)視(shi)提供內容服務的服務提供商發起DDOS攻擊,造成服務停(ting)止。
  垃圾(ji)郵(you)件
  通過互(hu)聯網,用戶可能會收到源源不斷的惡意軟件或者垃圾(ji)郵(you)件騷擾,這不僅阻礙了互(hu)聯網的使用,同樣會導致病(bing)毒(du)感染、釣魚攻擊等二次(ci)威脅bing)br />  網絡釣魚
  當(dang)使用web服務的時候,用戶可能被引誘到一個(ge)偽裝成合法(fa)站點(dian)的惡意web站點(dian)。這個(ge)惡意站點(dian)的目kang)木褪喬qie)取用戶憑證信息(xi)或者感染ji)沒 she)備。攻擊者常常使用上面所提到jiang)睦 ji)郵(you)件追蹤(zong)用戶。值得關注的是由于(yu)智能電(dian)視(shi)應用相比pc來說,會有(you)更多的安(an)全防護意識較為薄弱的老年人(ren)和小孩使用,所以(yi)他們qian)晌 shou)害(hai)者的風險也要比pc大。
  訪(fang)問不健康(kang)內容
  用戶可能會瀏覽不健康(kang)的內容(如(ru)色情圖片(pian))或者家庭成員可能會無意識地訪(fang)問不健康(kang)內容,而這些網站通常都隱藏著病(bing)毒(du)木馬,從(cong)而會為用戶帶來極大的安(an)全風險。
  (4)Web服務器(qi)威脅
  即使智能電(dian)視(shi)本身不存在安(an)全風險,但是為智能電(dian)視(shi)提供服務的web服務器(qi)(由智能電(dian)視(shi)廠商掌管)也bu)贍艽嬖詘an)全風險。由于(yu)智能電(dian)視(shi)通過web服務連接上了這些服務器(qi),就使得智能電(dian)視(shi)直接暴露(lu)在被感染了病(bing)毒(du)或者隱私被竊(qie)取、財(cai)產(chan)遭受(shou)損失的風險之中。
  偽裝設(she)備和用戶
  未授權設(she)備或者用戶偽裝成合法(fa)的設(she)備或用戶訪(fang)問web服務站點(dian)。偽裝的用戶會造成未授權使用服務和內容的風險,而偽造的設(she)備會造成web站點(dian)被huai)?韉姆縵鍘br />  與web站點(dian)存在相同的威脅
  因為電(dian)視(shi)廣播(bo)服務如(ru)同web服務一樣,同樣會遭受(shou)dos攻擊、未授權訪(fang)問、病(bing)毒(du)感染、通信竊(qie)听(ting)、垃圾(ji)郵(you)件以(yi)及釣魚攻擊。以(yi)下(xia)lu)ji)個(ge)是通過烏雲po)教  齙拇chuan)統漏洞︰

  struts2命令(ling)執行漏洞︰
  http://www.wooyun.org/bugs/wooyun-2010-039541
  http://www.wooyun.org/bugs/wooyun-2010-0179088
  SQL注入(ru)漏洞
  http://www.wooyun.org/bugs/wooyun-2010-012452
  MongoDB未授權訪(fang)問
  http://www.wooyun.org/bugs/wooyun-2010-084317
  弱口(kou)令(ling)
  http://www.wooyun.org/bugs/wooyun-2010-0102661
  (5)調試端口(kou)開啟
  由于(yu)大多數智能電(dian)視(shi)采(cai)用的是Android系統,且ye)齔 蹦 峽 裊555端口(kou),可使用ADB直接連接,開啟shell,可通過shell向設(she)備中植入(ru)惡意代(dai)碼,控(kong)制設(she)備,如(ru)播(bo)放插播(bo)視(shi)頻信息(xi)。具(ju)體(ti)案例(li)如(ru)下(xia)︰
  http://www.wooyun.org/bugs/wooyun-2010-071951
  http://www.wooyun.org/bugs/wooyun-2010-068107
  http://www.wooyun.org/bugs/wooyun-2010-0155742
  貳、針對威脅采(cai)取的安(an)全措施
  為了應對yue)贍懿chan)生(sheng)的各種安(an)全威脅,智能電(dian)視(shi)廠商應該通過采(cai)取以(yi)下(xia)措施來保障(zhang)用戶安(an)全︰
  (1)漏洞管理
  制定措施為操作系統、中間件以(yi)及已安(an)裝應用及時地安(an)裝an)苟 6雜yu)智能電(dian)視(shi)來說,需要通過以(yi)下(xia)2個(ge)方面進行防護︰
  增加反病(bing)毒(du)功能,及時發現利用漏洞進行危(wei)險行為的病(bing)毒(du)。
  可以(yi)通過電(dian)視(shi)廣播(bo)發送(song)或者連接互(hu)聯網安(an)裝an)苟 Hru)果使用廣播(bo),有(you)可能存在下(xia)發補丁的時段內用戶並沒有(you)xing)謔褂梅瘢 cong)而錯過補丁安(an)裝。如(ru)果通過互(hu)聯網下(xia)發補丁,提供一個(ge)專門的web服務讓用戶知道他們需要進行軟件更新,當(dang)他們訪(fang)問web站點(dian)的時候能夠引導他們進行更新,或者如(ru)果軟件不進行更新就不能提供服務,這樣就會很方便。
  (2)限(xian)制pin)欠fa)訪(fang)問
  限(xian)制連接的IP地址(通過路由控(kong)制)
  如(ru)果電(dian)視(shi)服務是由特(te)定的IP地址提供的,那麼智能電(dian)視(shi)可以(yi)配置成只允shi)磧胝廡┤te)定的IP地址進行通信。
  阻止未授權訪(fang)問
  通過過濾,限(xian)制只有(you)需要使用服務的用戶才能訪(fang)問。
  (3)反病(bing)毒(du)措施
  可以(yi)通過移(yi)除(chu)存儲媒介或者斷開網絡(包括連接的內網或者互(hu)聯網)來防止病(bing)毒(du)感染。當(dang)有(you)文件需要更新或者需要互(hu)聯網服務的時候,再連接互(hu)聯網。
  安(an)裝反病(bing)毒(du)軟件
  智能電(dian)視(shi)作為繼(ji)PC端和手機端後的第三個(ge)家庭入(ru)口(kou),已經(jing)被越來越多的跨行業產(chan)品(pin)所重視(shi),電(dian)商、游戲、互(hu)聯網行業是最為人(ren)們熟知的,而安(an)全軟件同樣在爭奪這個(ge)市(shi)場,在生(sheng)活高度(du)智能化的今天,就連汽(qi)車(che)、冰箱、微波爐等產(chan)品(pin)都具(ju)備了互(hu)聯網特(te)性(xing),而智能電(dian)視(shi)已經(jing)被安(an)全軟件企業視(shi)為一個(ge)最為重要的試點(dian),360、瑞(rui)星qia) an)全管家等都紛紛推出了智能電(dian)視(shi)安(an)全產(chan)品(pin)。
       

  (4)使用IDS/IPS等傳(chuan)統安(an)全防護設(she)備保護服務器(qi)端安(an)全
  使用IDS/IPS可以(yi)檢測和阻止來自外部(bu)連接(如(ru)Internet)、病(bing)毒(du)、惡意代(dai)碼、可信內部(bu)主體(ti)的未授權活動(dong)企圖、來自yue)尚諾?返奈詞諶 fang)問企圖。
  (5)通訊加密(VPN)
  以(yi)下(xia)信息(xi)通信必須進行加密︰
  智能電(dian)視(shi)與其它(ta)家庭設(she)備通過有(you)線/無線網絡進行信息(xi)交(jiao)互(hu);
  智能電(dian)視(shi)與外部(bu)web服務通過互(hu)聯網進行信息(xi)交(jiao)互(hu);
  使用智能電(dian)視(shi)與外界(jie)進行信息(xi)交(jiao)互(hu)。
  對于(yu)A,如(ru)果使用有(you)線局域網,因為是家庭內部(bu)網絡,被竊(qie)听(ting)的風險會很低。如(ru)果使用無線網絡,為了防止嗅探,就得對數據通信進行強加密了。所以(yi),如(ru)果提供無線局域網服務,在說明書中標明風險警告是至關重要的。
  對于(yu)B,使用加密傳(chuan)輸保護數據通信,如(ru)SSL/TLS。
  對于(yu)C,則通常是通過email與外界(jie)進行信息(xi)交(jiao)流的情況,可以(yi)參(can)考pc端的安(an)全防護措施,采(cai)用S/MIME(Secure Multipurpose Internet MailExtensions,多用途網際shi)始┌湫 或者PGP(Pretty GoodPrivacy)對郵(you)件進行加密。
  (6)身份認證
  設(she)備身份認證
  對設(she)備(智能電(dian)視(shi))自身進行身份認證。主要是服務端對所有(you)連接它(ta)的智能電(dian)視(shi)進行身份驗證,判斷訪(fang)問是否合法(fa)。通常有(you)幾(ji)種方式可以(yi)實現,比如(ru)通過給每(mei)個(ge)智能電(dian)視(shi)配置一個(ge)獨一無二的id、一個(ge)USB key、一張IC卡或者一個(ge)內置的TPM(可信賴平台模塊)芯片(pian)。不huai)捎yu)ID可以(yi)偽造,所以(yi)yue)贍艽鋝壞(huai)繳矸菅櫓?哪康(kang)摹br />  軟件身份認證
  對智能電(dian)視(shi)上已安(an)裝軟件的身份認證。主要是qian)災悄艿dian)視(shi)上xian)倫暗娜砑猩矸菅櫓?yi)防止安(an)裝惡意軟件。可以(yi)通過檢測程序數字簽名來實現。如(ru)果要進行嚴(yan)xi)竦納矸萑現? 梢yi)使用PKI(Public Key Infrastructure)認證。
  用戶身份認證(設(she)備)
  對使用智能電(dian)視(shi)的用戶的一個(ge)身份認證。為了防止未授權訪(fang)問,以(yi)及在安(an)裝外部(bu)軟件等特(te)殊操作的時候確(que)定當(dang)前(qian)操作用戶為被授權的那個(ge)用戶,對用戶進行身份認證是非(fei)qian)V匾 摹br />  用戶身份認證(服務器(qi)端)
  這是由服務器(qi)端實現的,用于(yu)對通過智能電(dian)視(shi)訪(fang)問web服務的用戶進行身份認證。盡管他的實現依賴于(yu)服務端,但通常把ID/PW(用戶ID/密碼)作為身份驗證依據。如(ru)果服務涉及到合同簽訂或者商城購物(wu)等,則信用mei) 牛 te)殊設(she)備(如(ru)一次(ci)性(xing)密碼生(sheng)成器(qi))或者PKI也bu)梢yi)用來作為身份驗證的依據。換句(ju)話說,與在PC端使用在線服務類似(si)。
  服務器(qi)連接認證
  為了確(que)保智能電(dian)視(shi)與web服務器(qi)間或者廣播(bo)站之間的連接安(an)全,在需要下(xia)載軟件或者進行重要信息(xi)交(jiao)互(hu)的時候,需要對服務器(qi)端進行身份驗證。可以(yi)通過服務器(qi)端證書驗證來驗證服務器(qi)身份。

 

  (7)內容加密
  針對用戶存儲的信息(xi)進行加密。可以(yi)用來對智能電(dian)視(shi)上存儲的版(ban)權內容或者用戶信息(xi)進行加密。在考慮qian)踩 唄緣氖焙潁 用芊絞健 用 茉yue)以(yi)及如(ru)何存儲和管理加密密鑰(yue)都是關鍵的。
  (8)數據擦除(chu)
  智能電(dian)視(shi)報(bao)廢或者閑(xian)置不用後,需要使用數據擦除(chu)工(gong)具(ju)對上面存儲的數據進行擦除(chu),以(yi)防止設(she)備被轉讓變(bian)賣後被人(ren)通過數據恢復獲取設(she)備上存儲過的敏(min)感信息(xi),造成信息(xi)泄漏。有(you)多種方法(fa)擦除(chu)數據,如(ru)使用隨機數進行多次(ci)數據覆蓋,損毀硬盤或者使用強大的磁場毀壞(huai)數據。而對于(yu)家庭電(dian)子設(she)備,使用隨機數覆蓋方式是最普遍的。
  (9)過濾惡意數據
  URL過濾
  過濾惡意釣魚、非(fei)法(fa)的網站或者被病(bing)毒(du)感染網站。
  郵(you)件過濾
  過濾垃圾(ji)郵(you)件、釣魚郵(you)件,帶有(you)病(bing)毒(du)附件的郵(you)件。
  (10)說明書
  說明書應該列(lie)出智能電(dian)視(shi)的整個(ge)生(sheng)命周期(開始使用、操作和報(bao)廢)中可能產(chan)生(sheng)的安(an)全威脅以(yi)及這些安(an)全威脅發生(sheng)後如(ru)何進行應急處理,以(yi)便盡可能降(jiang)低安(an)全風險,引導用戶解決在使用過程中的各種安(an)全問題,如(ru)︰
  如(ru)何避免誤用;
  如(ru)何配置安(an)全參(can)數;
  如(ru)何進行安(an)全維護(比如(ru)漏洞管理);
  如(ru)何對安(an)全事lu)杏 畢 
  如(ru)何處理報(bao)廢的智能家電(dian)。

 

lol外围官网

    Tag標簽︰解決方案  風險  智能  
    • lol外围官网

    About IT165 - 廣告服務 - 隱私聲明 - 版(ban)權申明 - 免責條(tiao)款(kuan) - 網站地圖 - 網友(you)投稿 - 聯系方式
    本站內容來自于(yu)互(hu)聯網,僅供用于(yu)網絡技術學習,學習中請遵循相關法(fa)律法(fa)規(gui)
    lol外围官网 | 下一页