原标题:智慧城市牢不可破?IBM揭露智慧城市系统的17个安全漏洞
图片来源:IBM
随着全球各大城市皆已悄悄地展开智慧城市(Smart△City)部署,IBM△X-Force△Red团队与资安业者Threatca携手检视智慧城市所使用的主要系统,发现了17个安全漏洞,将允许骇客操纵警报系统、窜改感应器数据,造成民众的恐慌或城市的混乱,并于本周举行的黑帽(Black△Hat)骇客大会上公布。
IBM△X-Force△Red研究总监Daniel△Crowley表示,他们是在今年初开始测试智慧城市所使用的Libelium、Echelon与Battelle系统,当中的Libelium是个无线感应器网络的硬件制造商,Echelon则专门销售工业物联网装置与嵌入式应用,也生产连网照明控制器,Battelle则为专门开发与商业化各种技术的非营利单位。
研究人员主要查访的是有关智慧交通系统、灾难管理,以及工业物联网的装置,这些装置是通过Wi-Fi、4G、ZigBee或其它通讯协议连网。
在找到这些装置或服务的漏洞之后,研究人员还在公开网络上发现数百个含有漏洞的装置,有些欧洲国家利用这些装置来侦测辐射,美国城市则使用它们来监控交通。
这17个安全漏洞涉及采用预设密码、可绕过身份验证机制,以及资料隐码等,当中有8个被列为重大(Critical)漏洞,透露出就算是最为现代化的智慧城市,却仍旧曝露在老派的安全威胁中。
Crowley指出,这些漏洞将允许骇客摆布水位感应器,以触发错误的洪水警报,或是避免触发洪水警报,同样地,骇客也能操纵核电厂附近的辐射感应器,或者是借由对交通系统、建筑物警报系统或紧急警报系统的控制来制造混乱,在在都显示出缺乏安全的智慧城市将可能带来更多的恐慌或造成实际伤害。
根据估计,智慧城市的技术支出将从今年的800亿美元成长到2021年的1,350亿美元,随着智慧城市愈来愈普及,Crowley提醒产业应以安全为出发点,重新检验这些系统的框架,也建议有意导入智慧城市的首长应限制连结智慧系统的IP位址,扫描这些系统的缺陷,采用更安全的密码与API金钥,或是聘请白帽骇客来测试软、硬件的安全性。
目前不论是生产相关装置的业者或是部署这些装置的城市都已修补了IBM所提出的漏洞。
相关:
东京奥运采用人脸分辨保安系统 0.3 秒完成认证 | 香港 UNWIRE.HK 玩生活.乐科技 | 有趣科技产品新闻、评测
东京奥运将在 2020年举行,到时人山人海,出入不同场地最紧要安全,其次是快。据报,日本采用了由日本电气(NEC)研发的人脸分辨系统,比起人手处理快上约 2.5 倍。炎炎夏日,如果要长时间等待核对证件入场真是分分钟
假新闻充斥惹议,WhatsApp再被爆含有可窜改通讯内容的安全漏洞
图片来源: Check△Point 就在WhatsApp因假新闻事件被印度政府盯上的时候,以色列资安业者Check△Point在本周踢爆WhatsApp含有可窜改通讯内容的安全漏洞。WhatsApp为一跨平台且强调端对端加密的免费通讯程式,在2014年
【有片睇】日男驾车撞电视台失败 疑因自动刹车系统介入 | 香港 UNWIRE.HK 玩生活.乐科技 | 有趣科技产品新闻、评测
在上周六晚上,日本有某子驾着 Audi 房车,企图撞入电视台大门。但汽车开启了 AEB 自动刹车系统,男子多次尝试也不成功。据《产经新闻》消息指,该名男子年约 36 岁,在上周六晚驾着白色 Audi 房车,在日本东京江东区
示意图,与新闻事件无关。 图片来源: FCC 还记得去年5月美国联邦通信委员会(Federal△Communications△Commission,FCC)电子评论文件系统(Electronic△Comment△Filing△System,ECFS)的当机事件吗?当时FCC对
Android 9 Pie 出炉 Google Pixel 2018 手机新作业系统 | 香港 UNWIRE.HK 玩生活.乐科技
近日,Google 为新系统 Android P 正名,官方名称是 Android 9 Pie。换言之,早前系统代号 P 即是 Pie。另外,Google 宣布 Pixel 手机可以率先进行升级。新系统有三个升级重点,智能 (Intelligence)、简易 (Simplici