【常備警戒心】五分四IoT製造商未披露安全漏洞恐致洩密危機
IoT(物聯網)的應用愈來愈廣泛,但對於 IoT 設備的安全保護卻成疑。五分之四的物聯網設備供應商未有公開其產品安全漏洞的相關資料,意味著用戶處於私隱洩露危機及網絡攻擊的危機當中。
物聯網安全基金會 (IoTSF) 作為鼓勵保護 IoT 安全的科技業界組織,早前分析了數百間常用的物聯網產品製造商,發現只有五分之一在公共渠道上曾公布產品安全漏洞,以便修復。儘管包括英國、美國、新加坡、印度、澳大利亞以及歐盟,都曾強調 IoT 設備網絡安全的重要性以及能夠披露漏洞的能力。但以這種形式公布安全漏洞的供應商只有 21%,自去年起略有上升。
報告指出,漏洞披露政策的有缺失的原因可能是由於「非傳統 IT 企業」首次進入 IoT 市場,例如時尚供應商推出連線產品或廚房電器製造商為其產品添加智能功能。有些 IoT 設備製造商首次面對須考慮將網絡安全功能納入產品內,因為漏洞不僅可以進入設備,而且沒有固定的報告漏洞的途徑。
儘管如此,該報告指出「自 2017 年以來,任何連接互聯網的人,都可以免費獲得與 IoT 相關的最佳實踐」,以及五分之四的公司未能提供允許報告安全漏洞的機制,所以它們可以被修復的機會是「不能接受的低」,而這可能衍生更多問題。今次研究的推手 Copper Horse 的首席執行官 David Rogers 向 ZDNet 表示,這些安全漏洞事故只是冰山一角,而事件讓人意識到這些公司可能本身也很少關注安全問題。
雖然許多家電品牌有確保旗下產品配備了良好的安全措施,報告提到了包括 Sony、Panasonic、Samsung、LG、Google、Microsoft、Dell、Lenovo、Amazon、Logitech 及 Apple 在內的科技公司,都有做好網絡安全的措施,但消費者仍有機會選擇購買更便宜的替代品,而這些產品未必重視安全問題。使用這些欠缺安全保護的產品,意味著如果發現產品安全漏洞是無法通知製造商,而令用戶處於危險中。對於似乎已經倒閉的製造商的產品,即使有報告漏洞,也不太可能會修復漏洞。
雖然該研究反映現時 IoT 安全形勢相對嚴峻,但物聯網安全基金會認為,這種形勢最終會改變,而網絡安全設計將成為產品設計的基本部分。