平均每款物联网设备含34个安全风险

腾讯安全科恩实验室发布《2018年IoT安全白皮书》(以下简称“白皮书”)指出，在486款最新版本IoT(物联网)设备固件中，共发现16508个安全风险，其中智能家居设备存在的安全风险数量最多。

平均每款被检测IoT设备含33.96个风险

随着物联网产业的快速发展，越来越多的物联网设备被应用在人们的生产生活中。

白皮书数据显示，目前全球物联网设备数量已达到70亿，预计到2020年，活跃的物联网设备数量将增加到100亿。不过，物联网安全问题也日益突出，引发社会广泛关注。

对此，腾讯安全科恩实验室对2018年市场占有率较高的486款最新版本IoT设备固件进行检测，共发现16508个安全风险，平均每一款被检测的IoT设备包含33.96个安全风险，其中智能家居设备存在的安全风险数量最多。

固件漏洞风险类型分布图

白皮书指出，单个设备平均安全风险数量从高到低分别为智能音箱、摄像头、路由器／交换机、无人机、智能门锁。如，摄像头屡屡被曝出针对图像数据的隐私侵犯以及未授权入侵等安全问题。

“利用这些已存在的IoT设备安全风险，数千万的IoT设备会受到影响，轻则正常功能被阻塞，无法响应用户请求，重则被不法分子利用来精心构建完整攻击链路”，白皮书强调，不法分子获取更高系统权限，可将IoT设备变成公开的密码本和行走的感染源。

第三方库的严重、高危风险形势严峻

据白皮书介绍，IoT固件安全风险类型主要分为公开安全风险(Nday)和未公开安全风险(0day)，其中公开安全风险占绝大部分，这与IoT厂商在开发生命周期中忽略公开漏洞的排查和修复密切相关。

近年来，由于第三方库安全问题引发的IoT安全事件不容忽视。简单来说，第三方库也就是别人提供的代码库。基于节约开发成本、提高开发效率、缩短开发周期的目的，不少IoT开发商会直接使用第三方库。但是，一些IoT开发商不重视第三方库的安全性，缺失了针对第三方库代码的漏洞审查环节。

安全风险等级分布图

统计显示，第三方库在IoT固体安全方面造成的安全风险数量甚至比App上的情况更为严重。在本次检测统计中，由第三方库导致的Nday安全风险占比超过发现总量的90%。第三方库安全风险按等级划分，目前严重、高危比例接近50%。

值得注意的是，第三方库在版本上的滞后非常明显。白皮书强调，第三方库在版本迭代和更新频率上各不相同，平均滞后版本数量达到了68.75个。甚至，目前被调用的第三方库中，仍有七种第三方库没有团队维护，这可能会为IoT固件开发埋下安全隐患。

白皮书还指出，开发阶段人员安全意识不足，存在使用弱口令、硬编码密钥等问题，都非常容易引发严重的IoT安全事件。