智慧也不是沒有缺陷:解說 IoT 裝置漏洞

Common IoT Device Vulnerabilities

智慧裝置廣泛多樣的功能,為各種不同產業及環境帶來了改善的無限契機,儘管物聯網(IoT ,Internet of Thing裝置為家庭、工廠、城市帶來了各種好處,但卻也因為裝置的漏洞而形成了安全上的盲點和風險。

智慧裝置的漏洞會讓網路容易遭到駭客攻擊,且會削弱整個網際網路的安全性。所以,使用者務必小心謹慎,並且認清所謂的「智慧」也意味著容易引來資安威脅。

為何 IoT 裝置會有漏洞?


IoT 裝置之所以有漏洞,大部分是因為裝置缺乏內建安全機制來對抗威脅。除了技術層面的因素之外,使用者的也是這類裝置容易遭到攻擊的原因。智慧裝置之所以出現漏洞不外乎以下幾項原因:

  • 有限的運算能力和硬體限制。由於這些裝置大多有其特定的用途,因此僅具備有限的運算能力,無法內建嚴格的安全機制和資料防護。
  • 傳輸技術各異。這類裝置大多使用不同的傳輸技術,如此一來就很難建立標準防護措施與通訊協定。
  • 這些裝置的元件也有漏洞。裝置內部基礎元件的漏洞可能影響數百萬已經在使用中的智慧裝置。
  • 使用者缺乏資安意識。使用者如果缺乏資安意識,很可能會讓智慧裝置暴露在外,使得駭客有機會攻擊裝置漏洞。


由於裝置的漏洞可能成為網路犯罪攻擊的管道,所以裝置設計之初就應具備安全性,這一點顯得更加重要。

裝置漏洞對使用者有何影響?


從一些較知名的攻擊案例即可看IoT 裝置漏洞對使用者可能造成什麼影響。歹徒可利用裝置漏洞在內部網路四處遊走,進而找到關鍵的攻擊目標。此外,駭客也可利用漏洞來駭入裝置,將裝置變成駭客發動大型攻擊的幫兇,或者利用被駭的裝置在網路上散布惡意程式

IoT 殭屍網路就是裝置漏洞如何遭到網路犯罪集團利用的最佳範例。2016 年,有史以來最惡名昭彰的 IoT 殭屍網路惡意程式 Mirai 動員了數萬台遭到駭入的家用 IoT 裝置,發動了大規模的分散式阻斷服務 (DDoS) 攻擊,癱瘓了全球許多大型網站。

從企業的角度來看,IoT 讓企業資安與家庭資安之間的界線變得更加模糊,尤其是在家上班的情境。家庭導入 IoT 裝置會讓原本就缺乏嚴格資安管制的家庭環境多了一個新的入侵管道,使得員工暴露於惡意程式與駭客攻擊的風險,甚至危及企業網路。這是企業在實施個人自備裝置 (BYOD)在家上班政策時需考量的一項重要因素。

不僅如此,駭客也可利用含有已知漏洞的 IoT 裝置來入侵企業內部網路。企業可能遭遇的威脅包括:可讓駭客自內部網路搜尋並竊取資訊的 DNS 重新綁定攻擊,以及一些經由新式管道的攻擊,例如專門攻擊家用和企業智慧裝置的紅外線雷射誘導攻擊

IoT 裝置漏洞範例


目前已有多起案例證明 IoT 漏洞可能的衝擊有多大,這些案例當中,有些是 IoT 裝置安全的研究,有些則是真實的案例。「開放網站應用程式安全計畫」 (Open Web Application Security Project,簡稱 OWASP) 基金會是一個致力提升軟體安全的非營利組織,每年都會發布一份IoT 重大漏洞清單,其中最常見的漏洞包括:


強度不足、容易猜測或寫死的密碼

新的惡意程式變種經常利用這項漏洞,例如名為「Mukashi」的 Mirai 殭屍網路病毒變種就是利用 CVE-2020-9054 漏洞並使用預設登入憑證來暴力登入 Zyxel 品牌的網路儲存 (NAS) 產品。

不安全的生態系介面

我們一項針對複雜 IoT 環境的研究揭露了一些暴露在外的自動化平台,這些平台負責串聯多種裝置的功能。然而這些暴露在外自動化伺服器卻含有重要資訊,例如家庭定位資訊與寫死的密碼。研究中也深入探討了自動化平台遭到駭客入侵的可能後果。

不安全的網路服務

趨勢科技在 2017 年做了一份研究來探討 Sonos 智慧喇叭的安全性。該研究指出開放的裝置連接埠如何成為網路駭客用來竊取使用者敏感資訊的途徑。

由於裝置漏洞對使用者與網路造成影響的案例屢見不鮮,而且未來仍將不斷出現。因此使用者務必小心這些常見漏洞,並採取必要措施來防範漏洞攻擊。我們的 IoT 資源網站上有更多關於 IoT 攻擊的說明以及應對的資安建議。

誰該負起 IoT 裝置安全的責任?


IoT 漏洞與安全問題潛在的連鎖效應,連帶嚴重影響網際網路的整體安全。而確保這些裝置的安全,是所有相關單位的共同責任。

製造商必須在未來產品當中解決已知的漏洞,並釋出修補更新給現有產品使用,同時也要淘汰一些老舊產品。此外,IoT 裝置製造商還必須從設計之初就考量到安全性,並利用滲透測試來確保其生產的系統與裝置沒有潛在的漏洞。同時,廠商也應建立一套系統來接收外部機構針對其產品所發出的漏洞通報。

至於使用者則必須更了解這些連網裝置的風險,知道自己該如何確保這些裝置的安全,例如:變更預設密碼、更新韌體、選擇安全的設定等等都有助於防範風險。

[延伸閱讀:有效的 IoT 資安該從何著手]

如需更完整的多層式防禦,使用者可採用一些全方位的資安解決方案,如趨勢科技PC-cillin來提供有效的 IoT 威脅防護,在端點層次偵測惡意程式。此外,趨勢科技智慧網安管家Trend Micro Home Network Security (HNS)  可有效保護連網裝置,檢查路由器與所有連網裝置之間的網際網路流量。而趨勢科技的Deep Discovery Inspector網路裝置則可監控所有連接埠與網路通訊協定的流量,進而偵測進階威脅,防範企業遭到針對性攻擊。

原文出處:Smart Yet Flawed:IoT Device Vulnerabilities Explained

知道有家裡有多少Wi-Fi裝置嗎?
擔心家裡網路被陌生人入侵嗎?
怕網路攝影機被駭,私密影像被偷拍嗎?
立即手機下載智慧網安管家App(Android 免費健檢;iOS免費健檢)
看看家中是否暗藏網路不速之客!
~若搭配智慧網安管家主機,可完整擁有安全防護、裝置控管和家長防護等功能~