最后更新于2023年10月30日星期一格林尼治时间14:00:00
作为一个喜欢物联网(IoT)技术带来的便利的智能家居的人, 我经常寻找满足我期望的产品,同时也考虑到安全和隐私问题. 智能技术永远不应该与我们消费者看待其他产品的方式不同, 比如买一辆汽车. 以汽车为例, 我们寻找符合我们视觉和性能期望的车辆, 但这也能保证我们和家人的安全. 话虽如此, 难道我们不应该寻求安全、保护我们隐私的智能家居技术吗?
我不能告诉你哪种解决方案对你的具体情况有效, 但我可以给你一些关于技术安全的提示,帮助你进行研究,确定哪种解决方案最能满足你的需求,并帮助你在使用时保持安全. Many of these recommendations will work no matter what IoT product you’re looking to purchase; however, 我建议花时间执行这些基本的产品安全研究步骤.
我建议的第一件事是访问供应商网站并搜索,看看他们对产品的安全性有什么看法. 还有,他们有没有 漏洞披露程序(VDP)? 如果一个制造和销售物联网技术的组织对他们的产品的安全性没有太多的发言权,或者你或其他人报告安全问题的简单方法, 那么我强烈建议你继续前进.
这将表明产品安全性对他们来说可能并不重要. 我也要对产品供应商说:如果你不认真对待产品安全,不帮助我们消费者了解为什么你的产品在安全方面是最好的, 那我们为什么要买你们的产品呢?
接下来,我总是建议搜索 通用漏洞暴露(CVE)数据库 以及你想要购买的产品和/或供应商的名字. 您找到的信息有时非常能说明组织如何处理安全漏洞披露和后续产品补丁.
The existence of a vulnerability in an IoT product isn’t necessarily a bad thing; we’re always going to find vulnerabilities within IoT Products. 通过搜索我们想要回答的问题是: 该供应商如何处理报告的漏洞? 例如,他们是否能快速修补漏洞,还是需要几个月(或几年)的时间!)让他们做出反应——或者他们最终什么也不做? 如果在特定物联网产品上没有发布漏洞信息, 可能是没有人费心去测试产品的安全性. 也有可能是供应商 默默的打补丁 从未发行过任何cve.
一个产品永远不包含漏洞是不可能的,但也不是不可能的. Over the years I’ve encountered products where I was unsuccessful in finding any issues; however, 不能成功地发现产品中的漏洞并不意味着它们不可能存在.
Recently, 我变得很好奇,想知道生产和/或改造车库开门器的供应商在安全性方面是如何堆叠的, 所以我遵循了上面讨论的研究过程. 我看了多家供应商,看看他们是否都遵循了我的建议? 可悲的是,几乎没有人在他们的网站上提到“安全”这个词. 一个明显的例外是图雅, 全球物联网硬件和物联网软件即服务(SaaS)组织.
当我检查Tuya网站时,我很快找到了他们的安全页面,里面充满了 有用的信息. 在这个页面上,Tuya指出了他们的安全政策、标准和遵从性. 除了VDP,他们还运行一个 Bug赏金计划. 漏洞赏金计划允许研究人员与供应商合作报告安全问题,并为此获得报酬. 图亚的窃听器赏金信息位于 图雅安全响应中心. 供应商请注意: 这就是物联网产品供应商应该如何展示自己和他们的安全计划.
在关闭, 消费者, 如果你想花你的血汗钱, 请花时间做一些基本的研究,看看供应商是否有主动的安全程序. 此外,供应商们,请记住,消费者对产品安全性的意识和关注正在增强. 如果你想让你的产品成为“最佳解决方案”,“我强烈建议您开始认真对待产品安全问题,并分享您的业务和产品安全程序的详细信息和访问权限. 这些数据将帮助消费者做出更明智的决定,选择最能满足他们需求和期望的产品.
