本周,拜登-哈里斯政府宣布了一项针对智能设备的新网络安全标签计划——适用于“智能冰箱、智能微波炉、智能电视、智能气候控制系统、智能健身追踪器等”机器和设备。新的美国网络信任标志 (US Cyber Trust Mark) 将认证特定产品符合一套最低安全标准,以便消费者能够做出明智的购买决策并保持在线安全——尽管制造商参与是自愿的。如果一切顺利,您应该最早在明年就能在科技产品包装上看到这个新标签。
任何连接到互联网的设备,在某种程度上都容易受到黑客和其他恶意行为者的攻击。虽然我们大多数人很容易想象电脑和智能手机会被黑客攻击,但实际上,任何连接到互联网的设备(汽车、进行手术的机器人、路由器、Wi-Fi 摄像头、智能音箱、冰箱以及所有您可以通过网络连接的其他设备)都可能成为目标。
好消息是,这种情况并不普遍。您的智能冰箱或健身追踪器很可能没有被黑客攻击过,但关键在于它有可能被攻击。当智能和物联网 (IOT) 设备制造商在保护其产品方面不费吹灰之力时,黑客就更容易得手,例如不要求强密码或不推送针对已知漏洞的安全更新。
最容易理解的例子之一是网络连接或互联网协议 (IP) 摄像头。去年,《Cybernews》的一份报告发现,有 350 万个 IP 摄像头,如闭路电视摄像头和婴儿监视器,暴露在互联网上,而且“一些知名品牌要么提供默认密码,要么根本没有身份验证”,这意味着任何能找到链接的人都可以登录。黑客还可以尝试常见的弱密码,或者如果他们知道与特定账户关联的电子邮件地址,就会尝试使用之前泄露过的密码——一种称为凭证填充的攻击。
而一些恶意行为者确实这样做了。 本周的一份新报告发现,通过 Telegram 正在出售对儿童卧室摄像头的访问权限以及来自这些摄像头的儿童性虐待材料。
美国网络信任标志无法单独解决这类黑客攻击,但它可以帮助消费者避免最不安全的设备。它旨在成为类似“能源之星”的评级,该评级授予符合所需能效标准的电子设备,但这里是针对基本的计算机安全。
在新闻发布会上,拜登-哈里斯政府表示,联邦通信委员会 (FCC) 将管理这项自愿认证计划。在明年实施之前,该机构将征求公众意见,国家标准与技术研究院 (NIST) 将发布设备必须符合的“特定网络安全标准”。一些拟议的标准将包括要求“独特且强大的默认密码、数据保护、软件更新和事件检测能力”。
虽然标准目前尚不确定,但我们对这个标志本身如何运作有了更好的了解。除了盒子正面会有标志外,还会有一个二维码,链接到“国家认证设备注册表,为消费者提供有关这些智能产品的具体且可比较的安全信息”。换句话说,如果该计划按预期运作,二维码应该能让您检查设备是否收到了最新的安全补丁。
目前,该计划是自愿的——尽管一些大公司已经加入了。亚马逊、百思买、思科系统、连接标准联盟(Matter 智能家居标准的背后组织)、谷歌、英飞凌、LG、罗技、OpenPolicy、高通和三星都参与了此次公告。然而,苹果公司却缺席了,并且没有回应 《华盛顿邮报》的置评请求。
那么,美国网络信任标志能否促使智能设备制造商改进其产品的安全性?还是到明年实施时,标准最终会被大打折扣?我们只能拭目以待。
