4月25日,在“2018网络安全威胁治理峰会暨2017年我国互联网网络安全态势报告发布会”上,国家互联网应急中心(以下简称“CNCERT”)发布了2017年我国互联网网络安全态势报告。报告指出,2017年,国家信息安全漏洞共享平台(CNVD)收集的安全漏洞数量达历史新高,其中联网智能设备漏洞有2440个,涉及的设备类型主要包括家用路由器、网络摄像头等。
弱口令是摄像头易被利用的漏洞
智能扫地机器人成偷窥工具,智能摄像头直播用户生活隐私……近年来,物联网技术快速发展,智能联网设备层出不穷,随之出现的安全事件也引起广泛关注。
据CNCERT统计,2017年,CNVD新增收录联网智能设备安全漏洞2440个,较2016年增长118.4%。安全漏洞包括设备权限绕过、远程代码执行、弱口令等。这些漏洞最常出现在家用路由器、网络摄像头、会议系统等,所涉及的设备厂商则包括Google、Cisco和Huawei等。
报告特别强调,弱口令漏洞是联网智能摄像头的一个威胁高且极易被利用的漏洞类型。2017年12月底,CNCERT对互联网上暴露的部分品牌智能摄像头弱口令漏洞情况进行监测发现,位于重庆市、四川省、福建省摄像头的弱口令漏洞比例相对较高。
包括联网智能设备漏洞,去年CNVD共收集的安全漏洞15955个,达到历史新高。报告称,基于存在的安全漏洞,联网智能设备已成为恶意程序攻击的重点对象,并带来了用户信息和设备数据泄露、硬件设备遭到破坏等影响。
据悉,目前活跃在联网智能设备上的恶意程序超过12种,其结构复杂、功能模块分工精细、变种数量多、更新升级快、感染硬件平台广、感染设备种类多等特点,也加大了联网智能设备的防护难度。
互金平台成为黑客攻击的重要目标
随着移动互联网的发展,移动应用程序越来越丰富,在给人们带来便利的同时,也出现了大量的移动互联网恶意软件,严重危害网民的个人信息安全和财产安全。
报告指出,2017年,CNCERT通过自主捕获和厂商交换获得的移动互联网恶意程序数量达253万余个,同比增长23.4%。统计发现,在恶意程序的恶意行为中,流氓行为类、恶意扣费类和资费消耗类行为排名前三,占比分别为35.9%、34.3%和10.4%。
在过去一年,CNCERT累计协调国内92家提供移动应用程序下载服务的平台,下架了8364个移动互联网恶意程序。
2010至2017年移动互联网恶意程序捕获数量走势
值得注意的是,由于黑客攻击的趋利性,互联网金融平台成为黑客的重要目标。近年来,依托云计算、区块链、移动APP等互联网技术和工具,互联网金融实现了多样化的资金融通、支付、交易、信息中介等业务,互联网金融系统承载了大量的用户身份信息、信用信息、资金信息等敏感隐私数据。
2017年,CNCERT抽取1000余家互联网金融网站进行安全评估检测,发现包括跨站脚本漏洞、SQL注入漏洞等网站高危漏洞400余个。而检测发现的互联网金融APP更是达到1000余个安全漏洞,存在极大的安全隐患。
境外恶意嗅探我国工业互联网态势严峻
目前,工业制造逐渐从数字化向网络化和智能化转变,形成新型业态和应用模式。随着越来越多的工业智能设备的出现,网络安全问题随之转移到工业互联网上。
据CNCERT监测,2017年全年发现超过245万起(较上年增长了178.4%)境外针对我国联网工控系统和设备的恶意嗅探事件,我国境内4772个联网工控系统或设备型号、参数等数据信息遭泄露,涉及西门子、摩莎、施耐德等多达25家国内外知名厂商的产品和应用。
同时2017年,在CNVD工业控制系统子漏洞库中,新增的高危漏洞有207个,占该子漏洞库新增数量的55.1%。在对电力、燃气、供暖、煤炭、水务、智能楼宇六个重点行业的境内联网工控系统或平台开展安全检测过程中,发现存在严重漏洞隐患案例超过200例,这些漏洞若被黑客恶意利用,可能造成相关系统生产停摆或大量用户数据泄露。
采写:南都记者 李玲 实习生 尤一炜
声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
