在消费互联网时代，物(wù)联网本身的价值并没有(yǒu)被充分(fēn)挖掘，随着5G时代的到来，物(wù)联网领域迎来了新(xīn)的发展契机。5G通信技(jì )术定义了eMBB、uRLLC、mMTC三大应用(yòng)场景，极大提升了物(wù)联网的通信能(néng)力和灵活性，為(wèi)物(wù)联网的未来发展提供了良好的基础设施。

当前，我國(guó)正处于5G网络大规模商(shāng)用(yòng)准备阶段，各领域纷纷围绕智慧城市、智慧家居、智慧工(gōng)厂、智慧医(yī)疗、智慧交通等领域，大力培育物(wù)联网应用(yòng)生态，未来“5G+”模式将在各领域的数字化转型过程中(zhōng)扮演越来越重要的角色，并进一步催生新(xīn)一轮科(kē)技(jì )变革和物(wù)联网产(chǎn)业变革。据统计，截至2020年底，我國(guó)蜂窝物(wù)联网连接设备达到11.36亿户，全年净增1.08亿户，蜂窝物(wù)联网连接数占移动网络连接总数的比重已达41.6%。我國(guó)蜂窝物(wù)联网连接设备中(zhōng)应用(yòng)于智能(néng)制造、智慧交通、智慧公(gōng)共事业的终端用(yòng)户占比分(fēn)别达18.5%、18.3%、22.1%。

随着物(wù)联网产(chǎn)业规模不断壮大，基于5G网络的新(xīn)型物(wù)联网终端应用(yòng)越来越多(duō)，更多(duō)的黑客组织将目标瞄准了各种新(xīn)型的物(wù)联网终端设备，利用(yòng)这些设备上存在的漏洞植入恶意程序，控制物(wù)联网设备发起DDOS攻击、窃取数据信息或造成业務(wù)瘫痪。物(wù)联网终端设备的安(ān)全问题已成為(wèi)限制物(wù)联网业務(wù)广泛部署的一大障碍。分(fēn)析物(wù)联网终端面临的安(ān)全风险，对提升物(wù)联网安(ān)全水平，促进物(wù)联网及其生态系统的健康发展有(yǒu)着重要意义。

梆梆安(ān)全作(zuò)為(wèi)國(guó)内专业的移动安(ān)全与物(wù)联网安(ān)全厂商(shāng)，结合前期工(gōng)作(zuò)基础及自研IoT固件融合分(fēn)析平台的统计数据，编制了此报告，旨在对2020年典型IoT终端面临的安(ān)全风险进行汇总分(fēn)析，多(duō)维度呈现威胁态势，量化漏洞风险等级，為(wèi)物(wù)联网相关企业建立健全面向IoT终端安(ān)全的检测、评估體(tǐ)系提供参考。

2.1 IoT行业发展提速，联网终端数量猛增

尽管Covid-19疫情还在持续，但物(wù)联网市场仍在不断增長(cháng)。根据IoT Analytics的统计，2020年，IoT联网设备（如：智能(néng)网联汽車(chē)、智能(néng)家居设备、工(gōng)业联网终端）的数量将首次超过非IoT联网设备（如：智能(néng)手机、筆(bǐ)记本電(diàn)脑和台式机）。到2020年底，全球217亿个活动联网设备中(zhōng)，IoT联网设备将达到117亿（占比约54％）。到2025年，预计将有(yǒu)超过300亿的IoT连接，全球平均每人将近4台IoT设备。

此外，在Covid-19期间，据Zscaler的跟踪结果显示，企业IoT设备的使用(yòng)量增加了1500％，带来一个新(xīn)的安(ān)全问题：“Shadow IoT devices”——指未经授权而接入企业的设备。这些设备几乎没有(yǒu)安(ān)全措施，在这种情况下，影子IoT设备与企业网络的连接增加了攻击面，带来更大的安(ān)全隐患。这些IoT设备包括：数字机顶盒、IP摄像机、智能(néng)家居设备、智能(néng)電(diàn)视、智能(néng)手表，甚至汽車(chē)多(duō)媒體(tǐ)系统。

Source：Zscaler, IoT in the enterprise 2020

2.2 安(ān)全威胁加剧，全球IoT安(ān)全支出飙升

随着各类功能(néng)丰富的智能(néng)设备逐渐融入大众的生活中(zhōng)，人与设备的联系更加紧密。IoT设备承载了越来越多(duō)的生产(chǎn)生活数据和个人隐私信息，其安(ān)全问题也逐渐得到重视。由于IoT设备海量异构的特性，其安(ān)全攻击带来的后果也更為(wèi)多(duō)样和严重。例如，智能(néng)摄像头被攻击可(kě)能(néng)带来家庭或工(gōng)作(zuò)隐私的泄露，智能(néng)手表被攻击可(kě)能(néng)带来行动轨迹的泄露，智能(néng)网联汽車(chē)被入侵更是可(kě)能(néng)直接对人身安(ān)全造成严重威胁。

IoT终端安(ān)全问题加速增長(cháng)

在物(wù)联网行业快速发展的背景下，物(wù)联网安(ān)全事件频发，全球物(wù)联网安(ān)全支出不断增加。据Gartner调查，近20%的企业或相关机构在过去三年内遭受了至少一次基于物(wù)联网的攻击。Gartner预测，為(wèi)了防范安(ān)全威胁，2020年底全球物(wù)联网安(ān)全支出将达到24.57亿美元，其中(zhōng)，终端安(ān)全支出约5.41亿美元，网关安(ān)全支出约3.27亿美元，专业服務(wù)支出约15.89亿美元。

随着5G技(jì )术的普及，物(wù)联网应用(yòng)场景变得越发庞杂，IoT设备碎片化、分(fēn)布式趋势明显，安(ān)全需求、安(ān)全标准较难统一，且缺乏统一管控手段。再加上受限于IoT设备的成本低、算力有(yǒu)限等现实因素，目前的安(ān)全机制很(hěn)难直接复用(yòng)到IoT设备上，导致IoT设备自身防护能(néng)力较弱，易被利用(yòng)安(ān)全漏洞开展入侵、攻击等行為(wèi)。

同时，IoT设备固件普遍存在逻辑缺陷和安(ān)全漏洞，部分(fēn)开发厂商(shāng)為(wèi)节约开发成本、提高开发效率，直接调用(yòng)第三方组件，但并未关注引入组件是否存在安(ān)全隐患或者缺陷，导致固件中(zhōng)存在大量漏洞且未经修复，极易被攻击者利用(yòng)。

3.1 检测样本数据统计

梆梆安(ān)全利用(yòng)IoT固件融合分(fēn)析平台，对2020年市场上主流的IoT设备固件进行了自动化抓取与安(ān)全检测，并对其中(zhōng)版本较新(xīn)的433款设备的安(ān)全检测结果进行了统计与分(fēn)析。

1、IoT设备类型分(fēn)布

我们的检测样本共计11大类，包括摄像头、路由器、電(diàn)力智能(néng)终端、无人机、車(chē)机部件、手持PDA、机顶盒、智能(néng)交通、智能(néng)家居、可(kě)穿戴设备，分(fēn)布比例如下：

检测样本按设备类型分(fēn)布统计

随着技(jì )术的发展、产(chǎn)业的逐步成熟，智能(néng)摄像头作(zuò)為(wèi)身份认证和安(ān)防监控等场景的重要环节，在智慧城市、智能(néng)家居、汽車(chē)、无人机、AR 等领域已有(yǒu)广泛应用(yòng)。而路由器的角色也逐渐演变為(wèi)智能(néng)家居的联网中(zhōng)枢。联网与智能(néng)化越来越多(duō)地影响着我们的日常生活，也对安(ān)全提出了更高的要求。

2、安(ān)全风险分(fēn)布

针对433个样本，固件融合分(fēn)析平台共检出安(ān)全风险20065个，平均每款IoT设备存在46.34个安(ān)全风险。按风险漏洞从高到低排列的设备类型依次為(wèi)：机顶盒、摄像头、路由器、手持PDA、无人机等。在数字化生活的浪潮中(zhōng)，我们身边的智能(néng)设备却频频爆出安(ān)全漏洞与被攻破事件，反映出厂商(shāng)与大众的安(ān)全意识与安(ān)全防护手段的缺失。

安(ān)全风险按设备类型分(fēn)布统计

3.2 固件代码漏洞分(fēn)析

1、高可(kě)利用(yòng)性漏洞占比较大

通过固件融合分(fēn)析平台，梆梆安(ān)全对IoT设备固件的基本信息、代码风险、敏感信息泄露、配置安(ān)全等层面进行了安(ān)全测试，检测出的安(ān)全风险TOP10按类型分(fēn)布情况如下：

安(ān)全风险数量TOP10统计分(fēn)布

据统计，占比较多(duō)的风险类型有(yǒu)CWE-457（使用(yòng)未初始化变量）、CWE-676（不安(ān)全函数调用(yòng)）、CWE-476（空指针引用(yòng)）、CWE-467（sizeof()使用(yòng)不当漏洞）、CWE-190（整数溢出缺陷）、CWE-215（调试信息泄露）等。这些安(ān)全风险有(yǒu)可(kě)能(néng)导致拒绝服務(wù)攻击、修改控制流、缓冲區(qū)溢出、崩溃重启、运行错误等安(ān)全威胁。

另外，在统计结果中(zhōng)，用(yòng)户名(míng)密码泄露风险共发现89次，证书文(wén)件/密钥泄露风险共发现59次，可(kě)能(néng)导致用(yòng)户信息泄露，或利用(yòng)密钥对恶意软件进行签名(míng)，以此欺骗普通用(yòng)户进行安(ān)装(zhuāng)等安(ān)全隐患。

2、中(zhōng)风险漏洞数量最多(duō)

参考CVSS（Common Vulnerability Scoring System，通用(yòng)漏洞评分(fēn)系统），将安(ān)全风险划分(fēn)為(wèi)高、中(zhōng)、低三个等级，检测结果的风险等级分(fēn)布情况如下：

风险漏洞按风险等级分(fēn)布占比

3.3 第三方库安(ān)全风险分(fēn)析

在固件开发过程中(zhōng)，為(wèi)了节约开发成本、提高开发效率，很(hěn)多(duō)开发厂商(shāng)会直接使用(yòng)第三方库。几乎所有(yǒu)的软件中(zhōng)都含有(yǒu)第三方库，据Gartner统计，2018年软件使用(yòng)第三方库的  代码量占到了总代码量的80%，自研代码比例越来越低。大部分(fēn)固件开发厂商(shāng)在引入第三方库时，并未关注引入组件是否存在安(ān)全隐患或者缺陷，默认软件安(ān)全应该由组件提供者保障，也就是供应链上游进行检测。但实际上，通过对一些著名(míng)开源工(gōng)程进行分(fēn)析发现，这些工(gōng)程几乎完全不去做任何安(ān)全校验。

1、平均每款固件包含21.46个第三方库漏洞，版本普遍较陈旧

根据检测结果统计，平均每款固件中(zhōng)存在的第三方库漏洞数量约為(wèi)21.46个。第三方库被调用(yòng)次数和漏洞数量统计如下：

第三方库被调用(yòng)次数占比统计

第三方库漏洞数量统计

在固件所调用(yòng)的第三方库中(zhōng)，以调用(yòng)次数排名(míng)前两位的库為(wèi)例，BusyBox 是一个集成了300多(duō)个常用(yòng)Linux命令和工(gōng)具(jù)的软件，在嵌入式开发中(zhōng)较為(wèi)常见。但由于一些固件开发厂商(shāng)的配置疏忽或补丁更新(xīn)不及时，导致IoT设备产(chǎn)生命令执行甚至代码执行的漏洞。

OpenSSL是OpenSSL团队的一个开源的能(néng)够实现安(ān)全套接层（SSLv2/v3）和安(ān)全传输层（TLSv1）协议的通用(yòng)加密库，支持多(duō)种加密算法，包括对称密码、哈希算法、安(ān)全散列算法等。2014年，OpenSSL被爆出存在eartBleed漏洞，2020年，又(yòu)分(fēn)别出现CVE-2020-1971、CVE-2020-1968（浣熊攻击）、CVE-2020-1967等漏洞。

由此可(kě)见，第三方库漏洞带来的安(ān)全隐患不容小(xiǎo)觑。

2、高危漏洞占比近40%

第三方库安(ān)全风险按高、中(zhōng)、低等级划分(fēn)的分(fēn)布图如下，高危和中(zhōng)危的比例已经超过了90%，第三方库造成的安(ān)全风险形势十分(fēn)严峻。

第三方库漏洞风险等级分(fēn)布

3、OpenSSL库潜在安(ān)全风险较多(duō)

漏洞数量最多(duō)的OpenSSL库，被调用(yòng)35次，共发现安(ān)全漏洞1283个，分(fēn)布在0.9.7、0.9.8、1.0.0、1.0.1、1.0.2五个版本中(zhōng)，大量固件调用(yòng)了1.0.1版本。而这些版本的发布时间均较早，目前已停止维护和更新(xīn)，而很(hěn)多(duō)固件开发厂商(shāng)缺乏安(ān)全漏洞补丁跟踪和版本更新(xīn)等安(ān)全策略和安(ān)全管理(lǐ)机制，新(xīn)发布的CVE漏洞将很(hěn)难在这些老版本上得到修复，集成这些版本的固件面临的安(ān)全风险也更大。

IoT固件OpenSSL库调用(yòng)情况和漏洞情况统计

4、Busybox被调用(yòng)次数最多(duō)，安(ān)全风险依然不容忽视

调用(yòng)次数最多(duō)的Busybox库，被调用(yòng)126次，共发现安(ān)全漏洞348个，版本覆盖范围1.00-1.26.2共19个版本。与OpenSSL情况类似，各固件开发厂商(shāng)集成的Busybox版本同样滞后，以集成次数最多(duō)的1.20.2版本為(wèi)例，距最后一次针对性补丁发布已经过去9年；相对最新(xīn)的1.26.2版本，最后一次补丁更新(xīn)时间為(wèi)2017年。

IoT固件Busybox库调用(yòng)次数TOP10

由于物(wù)联网行业自身的碎片化和多(duō)样性，使得固件的获得及通用(yòng)、高效、精(jīng)准的自动化安(ān)全检测十分(fēn)困难：一方面，大多(duō)数IoT设备开发厂商(shāng)都是基于已有(yǒu)模块或开源代码进行二次开发或碎片代码适配，加上设计开发人员安(ān)全意识薄弱，导致出厂即存在各种各样的安(ān)全隐患；另一方面，IoT设备操作(zuò)系统繁多(duō)，使用(yòng)架构不一，固件格式更是千差万别。这些多(duō)样性与差异化都给自动化安(ān)全分(fēn)析带来了挑战。