示意圖,與新聞事件無關。

繼月中加州議會通過後,加州州長Jerry Brown上周簽署了名為《SB-327資訊隱私:連網裝置》的法案,成為第一個物聯網(IoT)裝置安全法。

新法案通過後,從2020年1月1日開始,要求「連網裝置製造商必須為裝置增加合理的安全功能,或相應於裝置本質或功能、或相應於它蒐集、包含或傳輸的資訊」的功能,以「保護裝置及其包含的資訊不受非授權存取、破壞、使用、修改或遭揭露。」

新法最重要的進展在於,若裝置允許在本地網路以外用密碼存取,則該裝置必須每一台分配自有密碼,或強制使用者在首次連網時設定自有密碼。這意謂著,連網裝置不得再使用大家都一樣的預設密碼。

根據本法案的定義,連網裝置意指任何可直接或間接連網,具有IP或藍牙位址的裝置或其他實體物品。而所謂製造商,則是指其製造或委外製造的產品在加州銷售或供貨的廠商。

資安學界對此評價不一。有人認為新法案雖然還不夠完美,但至少是個開始。但也有安全專家如Robert Graham批評,新法是基於「增加」新安全功能的思維,但網路安全的重點不是增加安全功能,而是「拿掉不安全的功能」。對物聯網裝置而言,這是指移除可聽取訊息的傳輸埠或跨站注入程式碼的問題。如果在物聯網產品中加入防火牆或防毒等附加功能,只會徒然增加攻擊面。

此外,他也指出,該法旨在解決寫死密碼的問題,但忽略了IoT裝置還有其他驗證系統,如Telnet;有不重複或使用者自設的密碼不代表Telnet沒有漏洞。例如Mirai正是藉由開採Telnet漏洞而一舉攻陷近20萬台裝置。


Advertisement

更多 iThome相關內容