物联网设备安全&隐私基本准则

安全

1. 默认安全

   • 设备之间不会共享默认密码，或采用弱密码。
   • 所有的密码应该由高品质的随机数生成器随机产生。
   • 关闭用户很少使用的高级功能应（如VPN，远程管理等）。

2. 安全设计

   • 固件应该被锁定以使串行连接不可用。
   • 应该使用安全元件（SE）或者受信任的保护模块（TPM）设备来保护固件和硬件的访问。
   • 生产版本应该禁用硬件上所有的GPIO、UART和JTAG接口。
   • NAND或其它存储器/存储介质应用环氧树脂、球座进行保护（使存储器不能被移除、转存），或采用其他方法来防止物理攻击。

3. 自包含安全（Self-contained security）

   • 设备不应该依赖于网络来提供安全性。相反，该​​设备的安全模型应确保网络安全，并维持保护方法。
   • 设备之间的通信必须加密，以防止MITM攻击和嗅探/窥探。

隐私

• 不会与制造商或合作伙伴共享消费者PIN。
• 个人消费者使用的数据都不会与合作伙伴或广告商共享。
• 大量用户使用模式的匿名数据是可以接受的，只要证明这些数据不能追溯到个人消费者。
• 明确数据收集策略，数据类型和数据的使用。

原文：Internet of Things security is so bad, there’s a search engine for sleeping kids