加州議會(huì)于上周通過(guò)全美第一個(gè)物聯(lián)網(wǎng)(IoT)裝置的信息隱私法案《Information Privacy: Connected Devices》，待加州州長(zhǎng)Jerry Brown簽署之后預(yù)計(jì)于2020年的1月生效，成為美國(guó)第一個(gè)IoT法案。

　　該法案主要規(guī)定IoT裝置的制造商必須提供合理的安全功能，明確規(guī)范任何可自局域網(wǎng)絡(luò)之外登入的連網(wǎng)裝置都必須符合以下兩者之一的身分認(rèn)證規(guī)定，一是若裝置使用的是默認(rèn)密碼，那么每個(gè)裝置所配置的默認(rèn)密碼都必須是獨(dú)特的，二則是在用戶首次設(shè)定該裝置時(shí)，必須提醒用戶設(shè)定自己的密碼。

　　此一法案很明顯是針對(duì)IoT裝置經(jīng)常采用同樣的默認(rèn)密碼且用戶經(jīng)常未變更密碼而造成的攻擊行動(dòng)而來(lái)，特別是在IoT裝置已成為大規(guī)模服務(wù)阻斷攻擊(DDoS)重要媒介的現(xiàn)代。

　　然而，除了密碼的部份之外，《Information Privacy: Connected Devices》對(duì)IoT裝置的其它安全規(guī)范則只字未提，安全社群認(rèn)為，該法案的立意良好，但在安全的保障上太薄弱了。

　　因?yàn)槟壳暗腎oT裝置還面臨著密碼之外的其它風(fēng)險(xiǎn)，包含未加密的韌體更新，未加密的監(jiān)視器影像串流畫(huà)面，或者是以明文與服務(wù)器通訊等。

　　安全社群認(rèn)為，一個(gè)完整的IoT法案對(duì)于裝置上每個(gè)組件都應(yīng)訂定可供制造商遵循的安全標(biāo)準(zhǔn)，也必須能驗(yàn)證裝置是否符合這些標(biāo)準(zhǔn)。