物聯(lián)網(wǎng)中的五大威脅介紹

今天就來看看對物聯(lián)網(wǎng)（IoT）前五名分別是哪些威脅吧！

第5名：使用不安全或過時(shí)的組件

使用已停止維護(hù)或不安全的軟件組件/函式庫，導(dǎo)致設(shè)備可能被入侵。這亦包含了不安全的客制化操作系統(tǒng)，以及使用來自供應(yīng)鏈中已被入侵的廠商所提供的第三方軟硬件組件。

第4名：缺乏安全更新機(jī)制

缺乏安全進(jìn)行設(shè)備更新的能力，這包含了缺乏設(shè)備韌體的驗(yàn)證、缺乏數(shù)據(jù)傳輸時(shí)之加密、缺乏防版本回刷機(jī)制，及缺乏因應(yīng)更新而導(dǎo)致之安全性改變之通知。

第3名：不安全的操作系統(tǒng)接口

可用于操控IoT設(shè)備的不安全的網(wǎng)頁、后端API、云端或智能型手機(jī)接口，導(dǎo)致設(shè)備可能遭入侵并影響相關(guān)組件。常見的問題包括缺乏身份驗(yàn)證機(jī)制、缺乏加密機(jī)制，或是加密機(jī)制很弱，以及缺乏輸出入信息的過濾。

第2名：不安全的網(wǎng)絡(luò)服務(wù)

設(shè)備上運(yùn)行有非必要或是不安全的網(wǎng)絡(luò)服務(wù)，特別是那些可以直接由因特網(wǎng)存取的設(shè)備，并造成信息之保密性、一致性及可用性受影響，并導(dǎo)致允許未經(jīng)授權(quán)的遠(yuǎn)程訪問。

第1名：弱密碼、容易被猜到的密碼及寫死的密碼

使用容易就能被暴力破解的密碼、能夠公開取得的密碼、或是沒有改變過的默認(rèn)密碼，例如韌體中藏有之后門，以及透過客戶端的軟件提權(quán)并進(jìn)到布建的系統(tǒng)內(nèi)部等。

補(bǔ)充一下，大部分的IoT殭尸網(wǎng)絡(luò)都是透過這個(gè)威脅取得目標(biāo)設(shè)備的訪問權(quán)限，并透過該設(shè)備進(jìn)行下一步的對外攻擊。

建議各位在建置或管理IoT時(shí)應(yīng)該要確認(rèn)一下，是不是有剛好踩到這些雷，以免造成設(shè)備遭入侵或數(shù)據(jù)外泄導(dǎo)致?lián)p失喔！