原标题：无所不在的物联网设备，你我都需要正视所带来的资安问题

周峻佑

Hitcon Girls共同创办人赖婕芳与沈祈恩在2017年资安大会的议程中疾呼，物联网（IoT）装置所衍生的资安问题必须受到正视，因为比起电脑，这些装置可能会接触到更多个人隐私，或是影响人身安全与国家安全，一旦遭受骇客攻击，后果便不堪设想。物联网装置的安全与我们息息相关，无论是製造者还是使用者，你我都必须暸解如何降低其资安风险。

物联网装置带来不少便利性与创新应用，因此受到人们的欢迎。物联网这个名词，最早出现于1999年，但直到2013年之后，成为开始热门讨论的话题，然而，根据2015年AT T所做的调查报告中指出，在受访的5,000家企业中，有高达85%想要发展物联网应用，却只有10%的企业有信心能够应付骇客的攻击，显示物联网的资安问题，连企业普遍都没有把握。

另一个面向，则是从Symantec、FireEye、趋势科技、Intel Security、Kaspersky等资安大厂2017年的预测报告中，可看出端倪。这些报告不约而同指出，物联网装置会带来严重的资安风险与网路攻击。赖婕芳以2016年10月时，DNS供应商Dyn遭受大规模DDoS攻击的事件为例，其中一部分是由Mirai控制的物联网装置僵尸网路所发动。这个事件造成採用的Dyn服务的知名网站，包含BBC与GitHub等受到波及。然而，骇客取得这些物联网装置控制权的方法，仅仅只是透过了测试60组常见的预设帐号与密码就得手。

应用层面广泛，无论是小朋友的玩具，还是学校的路灯，全都是物联网装置

其实物联网涉及的领域相当广泛，无论是金融、公共服务、製造业、零售业，乃至于与人身安全有关的医疗、国家安全有关的能源设施，都有相关的应用。还有，近年来常见的智慧家庭，也使用了大量的物联网装置。

赖婕芳举出许多案例，像是互动式芭比娃娃，透过了像是Siri的机制，就能和小朋友对话，然而却被发现，其网路通讯可能会被有心人士拦截，让芭比说出指定的内容，如果这个骇客是个恋童癖，很可能会让小孩与家长饱受惊吓。

此外，美国有间大学受到DDoS攻击，经调查却来是自校内的路灯、贩卖机等物联网设备，但学校并未想到这些校内设施，都是属于这类设备的一部分。

物联网设备甚至会造成人身威胁，例如骇客可控制汽车的自动驾驶系统，透过枪枝的管控系统，骇客可执行射击。

物联网安全是一整个生态圈的事情

基本上，许多人想到物联网的资安问题，可能会以为主要是对于装置加密，消除漏洞等防护措施。但事实上，我们手上的物联网设备，只是传感器（Sensors），背后拥有一个生态圈，还包含网路与应用程式等。但从骇客攻击的面向来看，则略有不同：大致上可分成硬体设备、连接性（Connectivity），以及应用程式3块。

硬体指的不只是物联网设备本身，还包含整个生态圈设施，像是闸道设备，或是执行应用程式的手机等，骇客可透过这些装置发动攻击。

连接性指的是任何连接的阶段、过程，包含网路流量、生态圈通讯，以及设备之间的连接，或是应用程式之间的API等。

应用程式则包含物联网装置本身的软体、云端网页介面或管理者介面等。

在物联网硬体出现的问题中，赖婕芳举了RFID卡Mifare Classic为例，这种卡片遭到逆向工程解析后，被发现金钥只有48 bits，极容易破解，她说，以现在的角度来看，只要在淘宝花5美元，就能取得相关的修改工具。

而对于连接性的问题，像低功耗蓝芽通讯（BLE）来说，在需要沟通的两个设备之间，由于像手环一类的设备没有萤幕，只能使用配对机制中的Just Work验证方法（无密钥），在这种情况下就很容易遭受中间人攻击。

但其实另外一层隐忧，则是更多装置的BLE通讯过程完全没有加密，以赖婕芳他们测试过的小米手环与体重计来说，他们发现只是对手机程式进行配对，没有对资料做保护，因此可将手环或是体重计的通讯内容，传送到非绑定的行动装置。换言之，有心人士可将小米体重计得到某个人的重量资讯，同时传送到多台装置中呈现。

相较于上述两者，应用程式是骇客最常使用的攻击标的，像Hitcon在2015年举办的大会中，就展示骇入Gogoro App并取得凭证，然后将电动机车成功发动。然而这是应用程式在设计上的问题，将凭证存放在手机不够安全的区域导致。

迎向2017年，物联网安全是全民都要面对的问题

面临物联网装置层出不穷的资安事件，我们必须有所体认。针对不同的角色，赖婕芳提出以下建议措施：

製造商：开始设计必须将资安纳入考量，并且开发者需要有安全开发经验、训练，最好产品在上市前渗透测试。

企业用户：需将物联网设备盘点并列管，若是无法修补的设备，应考虑隔绝于主要网路之外。此外，防护措施需将整个网路架构纳入资安考量。并在採购时，要求厂商确保设备安全性。

终端使用者：了解使用装置的风险，如果不确定设备的功能，最好就不要使用。使用时，要将预设密码更换成高度複杂的密码。

iThome Security

tags：无所不在   联网   正视   带来   设备

上一篇  下一篇

相关：

应用宝“星APP”2月榜：创新成移动互联网流量关键

3月17日，腾讯应用宝发布了“星APP”2月榜单，与以往不同，本次榜单分成新锐应用和流行应用，更清晰地为用户发现当月好玩和经典的应用。同时，从上榜的腾讯视频、星座城、狼人杀、镇魔曲、QQ等10款应用中可以看出，在

超低功耗MCU使系统级功耗节省10倍并支援物联网应用中的浮点运算

台北2017年3月16日电 /美通社/ --?Analog Devices, Inc. (ADI) 宣布推出一款超低功耗微控制器单元(MCU)，用于满足迅速增长的嵌入高级演算法需求，并且当其用在物联网(IoT)边缘节点时，消耗的系统功耗极低。ADuCM405

三峡夷陵做活“山水文章” 乡村游带来百亿财富(图)

中新网宜昌3月16日电题：三峡夷陵做活“山水文章”乡村游带来百亿财富作者郭晓莹邱天星3月16日，湖北省宜昌市夷陵区2017年“缤纷四季乡约夷陵”乡村游活动在上洋村启动，当日的上洋村桃花红、梨花白，十里樱花长廊犹

瞬间矫正视力仿生镜片将上市 消息一出立刻引起网友的热议

瞬间矫正视力仿生镜片将上市对于有近视眼的朋友来说，戴眼镜确实是一件非常麻烦的事情。框镜在日常健身锻炼中会显得非常不方便，而隐形眼镜在各种处理步骤中也显得相当麻烦。做近视眼激光矫正手术又很担心20年之后会

异地恋怎么维持感情 异地恋情侣要正视10个问题

异地恋对对爱情的一大考验，因为远距离会产生很多问题，所以很多人在问异地恋怎么维持。想要维持异地恋，就一定要正视异地恋会出现的问题，如果能解决哪些问题，异地恋情侣也能有一个美满的结局。1、短信听不到语气，