LG電視安全漏洞涉及91000臺設備,家電智能化考驗物聯網安全
南方財經全媒體記者 吳立洋 上海報道
近日,羅馬尼亞網絡安全公司Bitdefender披露了韓國LG公司旗下智能電視WebOS(一種Linux電視操作系統)存在安全漏洞的情況,據其描述,這些漏洞可能被用於繞開系統授權直接獲取設備的root權限(Linux的超級管理員權限),進而導致設備受到攻擊、信息泄露等問題。
Bitdefender於2023年發11月發現並報告了相關漏洞,次年3月22日,LG在發佈的更新中修復了上述問題。
隨着家用電器產品智能化的快速發展,一方面其所採集、存儲的個人信息種類和數量大幅提高,另一方面聯網與互聯趨勢的普遍發展,極大增加了各類軟硬件系統漏洞被外部利用的風險。在數字化設備與日常生活的結合愈加緊密,安全問題的影響範圍不再侷限於電腦、手機等智能設備,如何保障自身的信息權益成爲當前產業和社會亟待關注的話題。
潛藏的安全隱患
從本次披露的信息來看,受到影響的LG智能電視型號包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB和OLED55A23LA,通過互聯網連接設備搜索引擎檢索後發現,有超過91000臺對應型號設備聯網,其來自的國家和地區包括韓國、中國香港、美國、瑞典、芬蘭等。
“LG已經意識到了問題並完成了系統補丁,目前我們確認LG智能電視是安全的,也建議用戶啓動自動軟件更新。”LG公司在迴應相關問題時表示。
記者在LG公司的中國大陸官網搜索了上述型號設備,存在漏洞的產品目前並未在大陸市場進行銷售。
“如果相關漏洞被黑灰產利用,可能會產生不小的安全隱患。” 上海大學網絡空間安全專業負責人、紫金山實驗室車聯網內生安全方向學術帶頭人李玉峰在接受南方財經全媒體記者採訪時表示,以其中的CVE-2023-6317漏洞爲例,其可能使攻擊者在用戶不知情的情況下創建一個新用戶,從而建立長期存在的後門,賦予其持久訪問智能電視系統的能力。
通過這些後門,攻擊者可能操縱電視,甚至在用戶不知情的情況下執行惡意操作,如監視電視實時畫面或竊取敏感信息(電視中安裝的應用程序、登錄的賬戶等)。當被攻擊的智能電視不止一臺時,攻擊者也有可能利用其組成殭屍網絡,向其它重要節點發起分佈式拒絕服務攻擊等,造成設備嚴重卡頓,甚至可能導致硬件損壞。
麻煩的是,如果攻擊者創建了不止一個用戶,安全分析人員在溯源時必須跨越多個賬號和系統組件才能確定攻擊的來源和全貌,從而使攻擊者的行爲軌跡更難被檢測、更難被關聯。
近年來,隨着物聯網的快速普及,對各類聯網設備的惡意攻擊也呈高速增長趨勢。
根據網絡安全研究團隊Zscaler threatlabz分析世界上最大的內聯安全雲Zscaler Zero Trust Exchange後發佈的《2023年企業IoT和OT威脅報告》,2023年全球物聯網流量增長了18%,而惡意軟件攻擊增長了400%以上。
李玉峰指出,在物聯網安全防護中,單個設備的安全漏洞不僅可能對設備本身造成嚴重影響,還有可能導致家庭網絡全面遭受威脅。
目前,智能家電聯網通常都是通過接入家庭局域網,攻擊者可以利用智能電視作爲切入點,進一步侵入家庭網絡。一旦入侵成功,攻擊者可以利用家庭網絡內的其他設備,執行更具破壞性的操作,包括數據泄露、隱私侵犯、惡意軟件傳播等,對家庭用戶的隱私和數據安全造成威脅。
協力構建物聯網安全
結合當前家電消費的市場情況,無論是電視、冰箱等傳統家電聯網功能的拓展,還是家庭攝像頭、電子門鎖等新型電器的應用,在信息安全質量方面都存在着水平參差不齊的現象。
去年11月廣西消費者權益保護委員會對15款家用攝像頭商品開展比較試驗,在其APP“收集個人信息的最小必要”和“收集個人信息時的授權同意”兩項測評中,僅有2款產品符合推薦性國家標準,13款產品存在不符合的情況。
李玉峰表示,對消費者而言,在選購相關物聯網家電產品時,一方面要選擇重視產品安全和用戶隱私保護的信譽良好品牌,另一方面也要仔細瞭解其隱私政策和用戶協議,審查設備所需的權限,避免過度授權。
而在使用過程中,應強化設備訪問控制,不要使用簡單的密碼或者在多個設備中重複使用密碼,關閉不必要的遠程訪問功能,啓用設備提供的身份驗證功能;將智能設備連接到安全的Wi-Fi網絡,並使用強密碼和加密方式保護網絡;此外,還需要注意固件更新和安全補丁,及時修復可能存在的安全漏洞等。
在社會對網絡安全重視度快速提升的大背景下,監管與行業層面的標準體系也在快速建設中。
2023年9月,由中國質量認證中心、中國家用電器研究院、國家智能家居質量監督檢驗中心、國家物聯網產品及應用系統質量檢驗檢測中心等研究和監管機構以及海爾、美的、格力、海信等頭部家電品牌聯合起草的物聯網家電產品網絡安全標準和認證規則正式對外發布。
從內容來看,這套認證標準針對聯網智能家用電器中需要保護資產特點及常面對威脅的特點,制定了具體可量化執行的測試方法,評估內容包含:設備網絡配置與綁定、鑑別機制、通信保護、固件安全、數值限制管理、代碼安全等。
當然,安全體系的構建不僅需要制度規則兜底,廠商如何在推動產品智能化的同時增強安全防護能力建設,並將其貫徹於整套智能家居生態建設和長期運營,纔是保證家電信息安全的關鍵所在。
李玉峰表示,製造商需要在數字產品從設計開發到使用退役的全生命週期融入網絡安全質量目標,提供的數字產品應該具有開箱即用的默認安全。當前,歐盟正緊鑼密鼓出臺《網絡彈性法案》,要求數字產品製造商實施網絡彈性設計,必須對因產品缺陷導致的網絡安全事故負責,法案生效後,所有進入歐盟市場的數字技術產品必須滿足網絡彈性標準。
“我們國家也可以借鑑美歐國家在推動網絡彈性方面的立法經驗,建立具有中國特色的網絡彈性法規體系,劃出數字技術產品網絡安全的法律底線。”李玉峰說。