如果说互联网的到来改变了人与人之间的关系，那么物联网（IoT）时代的到来则是一个前所未有的变革，因为它将改变人与物、物与物之间的关系，使我们的生活方式有了翻天覆地的变化，最终实现所谓的万物互联。但物联网技术仍存在不少漏洞，同时与技术发展相伴而行的黑灰产威胁也随之而来。

近年来可穿戴设备、智能汽车、摄像头、智能家居、无人售货机等终端设备、网络设备迅速发展并得到广泛的应用，而针对IoT设备的出现的风险漏洞和攻击事件频繁出现。攻击者利用IoT设备漏洞可导致设备拒绝服务、获取设备控制权限进而形成大规模恶意代码控制网络，或用于用户信息数据窃取、网络流量劫持等其他黑客地下产业交易。甚至像能源、航空等关系到国计民生的行业都受到威胁，可以说IoT行业的安全形势刻不容缓。

按漏洞类型TOP分布（来源：CNVD）

下面我们不妨回顾一下2016年IoT行业的安全形势，根据国家信息安全漏洞共享平台(CNVD)公布的数据，2016年收录IoT设备漏洞达到1117个，漏洞甚至涉及Google、西门子、华为这些大型企业。下面就按风险技术类型和设备事件类型进行归纳，供大家直观地了解。

2016年CNVD收录IoT设备漏洞类型分别为权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计缺陷等漏洞。其中，权限绕过、拒绝服务、信息泄露漏洞数量位列前三，分别占收录漏洞总数的23%，19%，13%。而对于弱口令（或内置默认口令）漏洞，虽然在统计比例中漏洞条数占比不大（2%），但实际影响却十分广泛，成为恶意代码攻击利用的重要风险点。

这1117个IoT设备漏洞中，影响设备的类型（以标签定义）包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。其中，网络摄像头、路由器、手机设备漏洞数量位列前三，分别占公开收录漏洞总数的10%，9%，5%。这些漏洞与我们的生活息息相关，不仅侵犯了个人隐私，而且还会带来人身安全方面的威胁。

漏洞（通用）按设备类型TOP分布（来源：CNVD）

仅仅是设备漏洞已经存在1117个，那么波及的设备可谓是不计其数，如果说一堆数字还不足以说明IoT行业的安全风险问题，那么我们不妨从一个个真实的案例去看看当前IoT行业受到什么样的安全挑战。

gSOAP开源软件开发库曝“Devil's Ivy”漏洞 数百万IoT设备岌岌可危

在6月份，IoT 安全公司 Senrio 的研究员在 gSOAP 中发现这个漏洞（编号 CVE-2017-9765 ），并将其命名为 “Devil’s Ivy”）。它是一个堆栈缓冲区溢出漏洞，可允许黑客远程攻击（DOS 攻击）SOAP Web 服务后台程序，并在存在漏洞的设备上执行任意代码。这个漏洞存在于下载量达上百万的第三方工具包中，可以影响数百万 IoT 设备并且很难清除。

而安讯士网络通讯公司（Axis）摄像头产品，则首当其冲被研究员利用漏洞进行进行演示攻击，攻击者可以远程访问一段视频资料或者阻止原用户访问该视频资料。而这些摄像头主要在银行大厅监控等对安保要求较高的场所使用，如果一旦受到攻击，将会造成不可估量的恶性影响。

Axis公司旗下252款摄像头产品，中有249款都受到该漏洞的影响。虽然漏洞被发现后，Axis公司立刻向负责维护gSOAP的Genivia公司上报漏洞，Genivia随后发放修复补丁。虽然Axis产品修复了Devil’s Ivy漏洞，但gSOAP拥有庞大的IoT开发者用户群体，下载量超过了100万次，包括佳能、西门子、思科、日立等很多大型厂商。Senrio推断，超过数百万设备受到漏洞的影响。

另外，此前央视还专门开辟新闻专题进行摄像头安全漏洞方面的风险，可以说作为IoT设备的风险大户，摄像头的安全已经受到极大的威胁，而且可能造成无法想象的后果！

Netgear路由器存在任意命令注入漏洞 上网安全备受风险威胁

除了摄像头的安全漏洞爆出之外，人们生活中的必需品——路由器也无法幸免。早在2016年，美国网件（Netgear）公司无线路由器Netgear R7000、R6400和R8000型号产品的固件包含一个任意命令注入漏洞。

远程攻击者可能诱使用户访问精心构建的web站点或诱使用户点击设置好的URL，从而以设备root用户权限在受影响的路由器上执行任意命令。在不需要认证的情况下，攻击者就能对路由器发起CSRF攻击——即便路由器并没有将管理接口暴露在互联网上也是完全可行。

Netgear公司拥有庞大的用户群体，一旦路由器漏洞受到攻击，数以百万用户的个人信息安全和用户隐私将荡然无存。或者我们无法想象，仅仅是上了个网就能带来如此严重的风险。

智能交通工具发展迅猛 安全风险问题不可估量

交通领域方面，此前一直备受关注的共享单车行业，有关智能锁存在的风险漏洞问题，同样也是物联网方面存在的风险。因为无论是GPS定位破解，还是一系列抢红包运营活动被盗刷，对于共享单车使用者的人身安全问题，还是运营企业来说都是造成极大的损失。而智能汽车这类拥有IoT设备的产品一并受到攻击，在路上高速飞驰的汽车戛然而止，造成的后果简直不敢想象。可以说，IoT行业的发展为人类带来前所未有的进步，但与此同时也产生了前所未有的、涉及全球性的安全威胁！毫无疑问，IoT行业发展必须具备足够保护级别的安全防控能力！

应运而生！顶象技术助力IoT行业安全发展

顶象技术产品体系由多平台全流程端安全产品（DX-ESS）和业务风险防控产品（DX-RCS）组成，在互联网、云计算以及大数据等领域为客户构建端到端、全环节、全链路和全维度的智能风险感知和防护体系。

DX-ESS针对移动端存在被破解、篡改、欺诈、动态调试、数据窃取、密码窃取、盗版等各类安全风险，为IoT设备的设计、开发、编译、发布、运营提供全流程的保护。

安全SDK产品为App开发者提供核心安全功能和多维度风险监测以及快速组件化接入。例如网络安全签名，可对抗常用签名算法在IoT终端被破解带来的危害；用复杂的数学算法和庞大的Lookup Table取代密钥，排除密钥泄露风险，保护IoT设备密码泄露而造成的风险问题。

虚机源码保护将源代码编译成加密指令，且只能由顶象独创的虚拟CPU执行，任何逆向工具均无法直接逆向破解，能够有效加强IoT设备的安全防护。例如使用专利技术STEE对包括Java，Kotlin，C/C++，Objective-C，Swift等在内的多种源码提供虚机保护；提供隔离的安全执行环境，可强力对抗逆向攻击。

移动威胁防控系统能够实现监控App端威胁事件，并能实时下发处置策略和安全热更新，有效保护无时无刻存在的IoT设备威胁风险。安全事件可视化，风险上报，在线监控能够让企业直观了解IoT设备遇到的风险问题，并可通过独有云端下发功能，无感升级保护IoT设备运行。

DX-RCS业务风险防控产品，支持快速私有化部署，将成熟的业务安全经验提供给IoT行业业务，帮助客户快速建立自由业务安全体系，解决仿冒、欺诈、作弊、垃圾、爬虫等互联网风险。

顶象技术拥有多年的风险防控对抗积累经验，利用智能监控、智能分析、策略管理等技术对风险威胁进行多层分析和决策，实时保护业务安全运行，实现持续的效果监控及安全保证。

防控体系能够实现快速私有化部署，讲业务和用户数据保留在私有云，极大减少数据泄露的可能性。通过无感验证机制，用户在使用过程中，无需操作验证码，较少对用户打扰，保证业务流程体验舒畅。

虽然IoT行业是时下风口正盛的行业，但是IoT设备早已进入我们生活并成为不可或缺的部分。个人用户而言必须具备足够的安全意识，例如及时修复设备系统漏洞，多注意相关安全设置如防火墙之类是否打开等等。而作为IoT设备制造或运营的企业，通过建立有效的漏洞风险防控能力，未雨绸缪，使社会运转、业务发展以及用户权益得到有效保障。