日前，国家互联网应急中心CNCERT发布2016年IoT设备漏洞情况统计简报。

简报显示，2016年国家信息安全漏洞共享平台（CNVD）收录IoT设备漏洞1117个，漏洞涉及Cisco、 Huawei、Google、Moxa等厂商。其中，传统网络设备厂商思科（Cisco）设备漏洞356条，占全年IoT设备漏洞的32%；华为（Huawei）位列第二，共收录155条；安卓系统提供商谷歌（Google）位列第三，工业设备产品提供厂商摩莎科技（Moxa）、西门子（Siemens）分列第四和第五。

国家互联网应急中心称，2016年IoT设备漏洞类型分别为权限绕过、拒绝服务、信息泄露、跨站、命令执行、缓冲区溢出、SQL注入、弱口令、设计缺陷等漏洞。其中，权限绕过、拒绝服务、信息泄露漏洞数量位列前三，分别占收录漏洞总数的23%，19%，13%。而对于弱口令（或内臵默认口令）漏洞，虽然在统计比例中漏洞条数占比不大（2%），但实际影响却十分广泛，成为恶意代码攻击利用的重要风险点。

2016年CNVD公开收录1117个IoT设备漏洞中，影响设备的类型（以标签定义）包括网络摄像头、路由器、手机设备、防火墙、网关设备、交换机等。其中，网络摄像头、路由器、手机设备漏洞数量位列前三，分别占公开收录漏洞总数的10%，9%，5%。

根据CNVD白帽子、补天平台以及漏洞盒子等来源的汇总信息，2016年CNVD收录IoT设备事件型漏洞540个。与通用软硬件漏洞影响设备标签类型有所不同，主要涉及交换机、路由器、网关设备、GPS设备、手机设备、智能监控平台、网络摄像头、打印机、一卡通产品等。其中，GPS设备、一卡通产品、网络摄像头漏洞数量位列前三，分别占公开收录漏洞总数的22%，7%，7%。值得注意的是，目前政府、高校以及相关行业单位陆续建立一些与交通、环境、能源、校园管理相关的智能监控平台，这些智能监控平台漏洞占比虽然较少（2%），但一旦被黑客攻击，带来的实际威胁却是十分严重的。