两个月前的HackPWN安全极客狂欢节上,无人机、烤箱、汽车、洗衣机、手环、电视、豆浆机、智能家居系统等多款智能设备因存在漏洞被破解。在刚刚结束的GeekPWN上又有多款产品被破解。
但仔细研究这一串破解名单后可以发现,两次破解的产品重合率很高,很多产品连续两次被攻破。时隔两个月,产品漏洞依旧,国内厂商们的修补动作未免太慢了。
图1:HackPwn与GeekPwn烤箱破解大撞车
破解项目撞车,只因仍未更新补丁
HackPwn与GeekPWN撞车的主要包括以下几项:烤箱、海尔SmartCare智能家居、无人机等;其安卓手机的root方法,更是和上个月互联网安全大会上的讲解如出一辙。
那么问题来了,为何2个月前就被曝光的漏洞,至今仍然存在?
HackPwn安全极客狂欢节举办期间,官网显示:“我们严格保证对厂商负责任的信息披露。我们会配合获胜选手共同在活动现场将详细的技术信息提供给厂商代表;如未有厂商代表在场,我们将在活动结束后以邮件形式将详细的技术信息提供给厂商。”
也就是说,在HackPwn大会举办后,这些厂商都已经收到了漏洞细节,但针对的补丁却迟迟未到。这也导致两个月后的GeekPwn上,相当多的漏洞仍然能再次被拿来演示。
不见踪影的补丁,无处安放的安全
多项漏洞延期修补,这对用户来说,却几乎是噩梦。远程控制烤箱自动启动、关闭SmartCare监视功能、获取无人机控制权,这一幕幕几乎是HackPwn的重演,但带来的震撼与反思却丝毫未减。
倘若这些漏洞被不法分子掌握,完全可以引爆烤箱、入室行窃、拐走无人机。而讽刺的是,这些产品的厂商早已获悉问题症结,但却依然放任自流,没有补丁、没有公告、甚至连简单的提醒都没有,全然置用户的安全于不顾。
国内厂商们的安全意识去哪儿了?
漏洞修补的迟缓,反映出国内软硬件厂商的通病——安全意识淡薄。问题没发生时鼓吹安全性能,出了事便推诿扯皮,近期曝光的某邮箱泄露事件就是一个极佳的缩影。
类似事件还有很多:HackPwn大会时,比亚迪等汽车厂商临时关闭云服务试图逃避大会攻破,却迟迟不对漏洞进行修补;面对乌云的漏洞报告,小米手机顾左右而言他,刻意淡化安全问题……业内人士表示,目前国内大多数软件、智能硬件厂商都没有专门的安全响应机制,漏洞响应速度慢。
相形之下,国际巨头们的安全措施十分值得效仿:Google建立安全专家团队,并高额悬赏旗下产品漏洞;微软成立安全响应团队并建立了科学的安全工程方法流程SDL( Security Development Lifecycle),从安全的角度指导整个软件开发流程。虽然这些大公司也时常被曝出高危漏洞,但及时的补丁更新,为用户的安全提供了保障。
