加州通過第一個IoT裝置安全法

繼月中加州議會通過後，加州州長Jerry Brown上周簽署了名為《SB-327資訊隱私：連網裝置》的法案，成為第一個物聯網(IoT)裝置安全法。

新法案通過後，從2020年1月1日開始，要求「連網裝置製造商必須為裝置增加合理的安全功能，或相應於裝置本質或功能、或相應於它蒐集、包含或傳輸的資訊」的功能，以「保護裝置及其包含的資訊不受非授權存取、破壞、使用、修改或遭揭露。」

新法最重要的進展在於，若裝置允許在本地網路以外用密碼存取，則該裝置必須每一台分配自有密碼，或強制使用者在首次連網時設定自有密碼。這意謂著，連網裝置不得再使用大家都一樣的預設密碼。

根據本法案的定義，連網裝置意指任何可直接或間接連網，具有IP或藍牙位址的裝置或其他實體物品。而所謂製造商，則是指其製造或委外製造的產品在加州銷售或供貨的廠商。

資安學界對此評價不一。有人認為新法案雖然還不夠完美，但至少是個開始。但也有安全專家如Robert Graham批評，新法是基於「增加」新安全功能的思維，但網路安全的重點不是增加安全功能，而是「拿掉不安全的功能」。對物聯網裝置而言，這是指移除可聽取訊息的傳輸埠或跨站注入程式碼的問題。如果在物聯網產品中加入防火牆或防毒等附加功能，只會徒然增加攻擊面。

此外，他也指出，該法旨在解決寫死密碼的問題，但忽略了IoT裝置還有其他驗證系統，如Telnet；有不重複或使用者自設的密碼不代表Telnet沒有漏洞。例如Mirai正是藉由開採Telnet漏洞而一舉攻陷近20萬台裝置。