LG电视安全漏洞涉及91000台设备,家电智能化考验物联网安全
南方财经全媒体记者 吴立洋 上海报道
近日,罗马尼亚网络安全公司Bitdefender披露了韩国LG公司旗下智能电视WebOS(一种Linux电视操作系统)存在安全漏洞的情况,据其描述,这些漏洞可能被用于绕开系统授权直接获取设备的root权限(Linux的超级管理员权限),进而导致设备受到攻击、信息泄露等问题。
Bitdefender于2023年发11月发现并报告了相关漏洞,次年3月22日,LG在发布的更新中修复了上述问题。
随着家用电器产品智能化的快速发展,一方面其所采集、存储的个人信息种类和数量大幅提高,另一方面联网与互联趋势的普遍发展,极大增加了各类软硬件系统漏洞被外部利用的风险。在数字化设备与日常生活的结合愈加紧密,安全问题的影响范围不再局限于电脑、手机等智能设备,如何保障自身的信息权益成为当前产业和社会亟待关注的话题。
潜藏的安全隐患
从本次披露的信息来看,受到影响的LG智能电视型号包括LG43UM7000PLA、OLED55CXPUA、OLED48C1PUB和OLED55A23LA,通过互联网连接设备搜索引擎检索后发现,有超过91000台对应型号设备联网,其来自的国家和地区包括韩国、中国香港、美国、瑞典、芬兰等。
“LG已经意识到了问题并完成了系统补丁,目前我们确认LG智能电视是安全的,也建议用户启动自动软件更新。”LG公司在回应相关问题时表示。
记者在LG公司的中国大陆官网搜索了上述型号设备,存在漏洞的产品目前并未在大陆市场进行销售。
“如果相关漏洞被黑灰产利用,可能会产生不小的安全隐患。” 上海大学网络空间安全专业负责人、紫金山实验室车联网内生安全方向学术带头人李玉峰在接受南方财经全媒体记者采访时表示,以其中的CVE-2023-6317漏洞为例,其可能使攻击者在用户不知情的情况下创建一个新用户,从而建立长期存在的后门,赋予其持久访问智能电视系统的能力。
通过这些后门,攻击者可能操纵电视,甚至在用户不知情的情况下执行恶意操作,如监视电视实时画面或窃取敏感信息(电视中安装的应用程序、登录的账户等)。当被攻击的智能电视不止一台时,攻击者也有可能利用其组成僵尸网络,向其它重要节点发起分布式拒绝服务攻击等,造成设备严重卡顿,甚至可能导致硬件损坏。
麻烦的是,如果攻击者创建了不止一个用户,安全分析人员在溯源时必须跨越多个账号和系统组件才能确定攻击的来源和全貌,从而使攻击者的行为轨迹更难被检测、更难被关联。
近年来,随着物联网的快速普及,对各类联网设备的恶意攻击也呈高速增长趋势。
根据网络安全研究团队Zscaler threatlabz分析世界上最大的内联安全云Zscaler Zero Trust Exchange后发布的《2023年企业IoT和OT威胁报告》,2023年全球物联网流量增长了18%,而恶意软件攻击增长了400%以上。
李玉峰指出,在物联网安全防护中,单个设备的安全漏洞不仅可能对设备本身造成严重影响,还有可能导致家庭网络全面遭受威胁。
目前,智能家电联网通常都是通过接入家庭局域网,攻击者可以利用智能电视作为切入点,进一步侵入家庭网络。一旦入侵成功,攻击者可以利用家庭网络内的其他设备,执行更具破坏性的操作,包括数据泄露、隐私侵犯、恶意软件传播等,对家庭用户的隐私和数据安全造成威胁。
协力构建物联网安全
结合当前家电消费的市场情况,无论是电视、冰箱等传统家电联网功能的拓展,还是家庭摄像头、电子门锁等新型电器的应用,在信息安全质量方面都存在着水平参差不齐的现象。
去年11月广西消费者权益保护委员会对15款家用摄像头商品开展比较试验,在其APP“收集个人信息的最小必要”和“收集个人信息时的授权同意”两项测评中,仅有2款产品符合推荐性国家标准,13款产品存在不符合的情况。
李玉峰表示,对消费者而言,在选购相关物联网家电产品时,一方面要选择重视产品安全和用户隐私保护的信誉良好品牌,另一方面也要仔细了解其隐私政策和用户协议,审查设备所需的权限,避免过度授权。
而在使用过程中,应强化设备访问控制,不要使用简单的密码或者在多个设备中重复使用密码,关闭不必要的远程访问功能,启用设备提供的身份验证功能;将智能设备连接到安全的Wi-Fi网络,并使用强密码和加密方式保护网络;此外,还需要注意固件更新和安全补丁,及时修复可能存在的安全漏洞等。
在社会对网络安全重视度快速提升的大背景下,监管与行业层面的标准体系也在快速建设中。
2023年9月,由中国质量认证中心、中国家用电器研究院、国家智能家居质量监督检验中心、国家物联网产品及应用系统质量检验检测中心等研究和监管机构以及海尔、美的、格力、海信等头部家电品牌联合起草的物联网家电产品网络安全标准和认证规则正式对外发布。
从内容来看,这套认证标准针对联网智能家用电器中需要保护资产特点及常面对威胁的特点,制定了具体可量化执行的测试方法,评估内容包含:设备网络配置与绑定、鉴别机制、通信保护、固件安全、数值限制管理、代码安全等。
当然,安全体系的构建不仅需要制度规则兜底,厂商如何在推动产品智能化的同时增强安全防护能力建设,并将其贯彻于整套智能家居生态建设和长期运营,才是保证家电信息安全的关键所在。
李玉峰表示,制造商需要在数字产品从设计开发到使用退役的全生命周期融入网络安全质量目标,提供的数字产品应该具有开箱即用的默认安全。当前,欧盟正紧锣密鼓出台《网络弹性法案》,要求数字产品制造商实施网络弹性设计,必须对因产品缺陷导致的网络安全事故负责,法案生效后,所有进入欧盟市场的数字技术产品必须满足网络弹性标准。
“我们国家也可以借鉴美欧国家在推动网络弹性方面的立法经验,建立具有中国特色的网络弹性法规体系,划出数字技术产品网络安全的法律底线。”李玉峰说。