原标题:加州通过第一个IoT装置安全法
示意图,与新闻事件无关。
继月中加州议会通过后,加州州长Jerry△Brown上周签署了名为《SB-327资讯隐私:连网装置》的法案,成为第一个物联网(IoT)装置安全法。
新法案通过后,从2020年1月1日开始,要求“连网装置制造商必须为装置增加合理的安全功能,或相应于装置本质或功能、或相应于它搜集、包含或传输的资讯”的功能,以“保护装置及其包含的资讯不受非授权存取、破坏、使用、修改或遭揭露。”
新法最重要的进展在于,若装置允许在本地网络以外用密码存取,则该装置必须每一台分配自有密码,或强制使用者在首次连网时设定自有密码。这意谓着,连网装置不得再使用大家都一样的预设密码。
根据本法案的定义,连网装置意指任何可直接或间接连网,具有IP或蓝牙位址的装置或其他实体物品。而所谓制造商,则是指其制造或委外制造的产品在加州销售或供货的厂商。
资安学界对此评价不一。有人认为新法案虽然还不够完美,但至少是个开始。但也有安全专家如Robert△Graham批评,新法是基于“增加”新安全功能的思维,但网络安全的重点不是增加安全功能,而是“拿掉不安全的功能”。对物联网装置而言,这是指移除可听取讯息的传输埠或跨站注入程式码的问题。如果在物联网产品中加入防火墙或防毒等附加功能,只会徒然增加攻击面。
此外,他也指出,该法旨在解决写死密码的问题,但忽略了IoT装置还有其他验证系统,如Telnet;有不重复或使用者自设的密码不代表Telnet没有漏洞。例如Mirai正是借由开采Telnet漏洞而一举攻陷近20万台装置。
相关:
黑客都无乎?脱 IP 网址数据传输 NIDD 商用测试成功 加强 IoT 装置数据安全 | 香港 UNWIRE.HK 玩生活.乐科技
以往网络视像镜头、网络监察感应器,都需要通过包含 IP 位址的数据传输技术 ,把资料从感应器传送到数据中心。而 IoT 物联网的发展日盛,为加强数据传输保安,日本 Softbank 积极研发毋须使用 IP 位址等通讯协议的 N
示意图,与新闻事件无关。 图片来源: Apple 资安业者Duo△Security本周披露,苹果的装置注册计划(Device△Enrollment△Program,DEP)含有验证缺陷,将允许骇客以暴力破解法取得DEP装置的档案,或是在企业中的行动
向线缆说掰掰! 首款全功能VR装置Oculus Quest将于明年春天上市
图片来源: Oculus△VR 脸书旗下的Oculus△VR在周三(9/26)发表了新款VR装置—Oculus△Quest,它不需要手机、不需要电脑、不需要缆线,也不需要外部的感应器,集所有功能于一身,预计于明年春天上市,售价为399美元。
真正无线头戴式 VR 装置 Oculus Quest 发表 明年年初上市售 399 美元 | 香港 UNWIRE.HK 玩生活.乐科技
Facebook 旗下的 Oculus 昨日发表全新头戴式 VR 装置 Oculus Quest,它将会在明年春季上市。Facebook CEO Mark Zuckerberg 表示在 Oculus Quest 推出后,就会完成推出 Oculus 的第一代产品。Zuckerberg 表示 Oculus
IoT双周报第49期:用手指轻压就能测出你的心脏好坏,新款Apple Watch也能测心电图了
只要将手指轻压手表右侧的表冠一段时间,通过内建的EKG感测器,就能完成心电图的测量,可以做为医生诊断或长期患者病情追踪的参考依据。另外,利用新的加速感测器和陀螺仪,也能提供跌倒侦测等照护功能。 09/08~09