物聯網（IoT） - 資安趨勢部落格

《 IoT 物聯網安全趨勢》智慧型燈泡遭駭使得 Wi-Fi 密碼遭竊

2014 年 09 月 18 日2016 年 11 月 09 日趨勢科技 TrendMicro

就在智慧型電視遭駭客入侵引起大家更加關注物聯網 (Internet of Things，簡稱 IoT) 的議題沒多久後，靠群眾集資成立的新創公司 LIFX 所生產的連網燈泡也被發現有可能洩漏 Wi-Fi 網路的密碼。

這款「可變換顏色的省電 LED 燈泡」會經由標準的「6LoWPAN 」網狀網路 (mesh network) 廣播 Wi-Fi 密碼，這種網路是最適合低功率無線裝置 (如燈泡) 的一項通訊標準。

白帽駭客發現了一個可讓其進入主燈泡以及其他相連燈泡的漏洞。駭客接著又在屋主不知情的狀況下，向網狀網路索取該 Wi-Fi 網路的詳細資料。透過這個方法，駭客就能在離其中一個燈泡 30 公尺的距離內取得其加密後的密碼。

在偷到 Wi-Fi 密碼之後，當然還需一定的技術能力才能解開密碼，不過對研究人員來說不是問題。LIFX 已經修正了這個可讓駭客取得密碼的漏洞。該公司在一篇部落格當中證實他們已更新了該款燈泡的韌體：

「此問題已經獲得解決，韌體更新請至這裡下載。」

「在極少的情況下，此安全問題可能會經由無線網狀網路暴露網路組態的詳細資料，駭客必須拆開燈泡，以反向工程破解程式除錯連線及韌體，然後拿著特殊專用裝置到您 Wi-Fi 網路的訊號範圍內 (而非從網際網路)，例如，帶著複雜的技術性設備躲在您的花園中。

就我們我知，目前並無任何 LIFX 用戶受到影響，此外，我們也一直建議使用者隨時更新到最新的韌體和 App 程式。」

LIFX 安全性更新，2014 年 6 月 29 日

不過，這項及其他針對智慧型裝置的概念驗證攻擊，卻可以當成萬物聯網安全性的教材。今天，許多產業都已投入全新智慧型裝置的開發，而智慧型裝置也正要開始獲得大眾接納。在這關鍵時刻，趨勢科技技術長 (CTO) Raimund Genes 希望提醒萬物聯網安全的首要負責人員：「眾所皆知，凡有漏洞的裝置就隨時可能遭到駭客攻擊。例如，路由器隨時都處於攻擊的危險當中，而且也很可能輕易就能破解。智慧型裝置廠商務必了解，其產品也很可能成為目標。」

◎原文出處：https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/ioe-insights/smart-lightbulb-hack-steals-wifi-password

=======

2016/11/9 更新

跟據 IT Home報導,研究人員示範利用汽車或無人機，以蠕蟲入侵智慧燈泡控制明滅,如以下影片:

【 IoT 物聯網新趨勢】穿戴式裝置的潛在安全問題：中篇

2014 年 09 月 17 日2016 年 01 月 25 日趨勢科技 TrendMicro

在本系列的前一篇當中，我們討論到穿戴式裝置的分類。接下來，我們將探討這些裝置可能遭受的攻擊。

視裝置的類型而定，其遭受攻擊的可能性差異很大，並且隨著攻擊可能發生的地點而異。不過，使用者受到實質傷害的可能性，會隨著您遠離裝置而降低。當攻擊不再以裝置為目標時，其焦點將轉移到資料的竊取。

低使用者風險、高可行性的攻擊

這些攻擊較容易成功，但對於使用者的影響有限。在這類案例中，駭客會攻擊雲端服務業者來竊取資料。

圖 1：駭客入侵雲端服務業者來竊取資料。

使用者帳號通常僅有一道認證機制把關，一般來說就是密碼。駭客會利用一些技巧，例如透過「忘記密碼？」的機制、鍵盤側錄程式、利用使用者其他已被破解的帳號密碼，或者使用暴力破解方式，來試圖進入雲端帳號以取得資料。

駭客一旦進入使用者的帳號，就能取得穿戴式裝置上傳的資料，對使用者有更深入的了解，進而量身訂製一些詐騙郵件。這樣的手法已不是新聞：當比特幣 (Bitcoin) 交易網站 MtGox 在 2011 年發生資料外洩時，其使用者即遭到了一些金融相關服務的詐騙。由於目標是比特幣使用者，因此歹徒認為使用者對金融相關的詐騙比較可能感興趣，而非減肥產品。

這類詐騙的歹徒通常是有能力製作惡意程式的網路犯罪集團，其主要收入來源是垃圾郵件和廣告活動。專門竊取資料的駭客也可能利用這類攻擊來取得可販售的資訊牟利。

中使用者風險，中可行性的攻擊

這類攻擊危險性較高，雖然不難成功，但對使用者的衝擊也有限。在這類案例中，駭客會入侵中介裝置來擷取原始資料。此外，也可能利用中間人攻擊 (man-in-the-middle) 的方式，扮演網路與實體裝置之間的橋梁，篡改來自網際網路或區域網路的資料。

要達成這項目的，最簡單的方式就是在系統上安裝一個木馬化的廠商 App 程式。今日，要在 Android 行動裝置上安裝惡意的 App 程式有很多方法。大部分的駭客都會透過第三方 App 程式商店來散布這類程式。

駭客的目標，是要蒐集更多有關攻擊目標的資訊，以便安裝最適合攻擊目標的惡意程式。例如，惡意程式攻擊可能會先鎖定 Google Glass 應用程式，利用該程式來隨時掌握使用者的行蹤。接著，惡意程式再另外下載一個惡意的 App 程式來根據使用者所在地點從事點閱詐騙。

另一個例子是利用連接「輸入型」穿戴式裝置的 App 程式來查看使用者的健康狀況 (是否為運動健將或稍動一下就累等等)。這項資訊可以讓歹徒篡改一些廣告來顯示「更貼近使用者需求」的廣告 (如：附近的健身房、高蛋白素、減肥藥等等，視使用者的健康狀況而定)。

圖 2：根據從穿戴式裝置蒐集到的資訊提供針對性廣告。

另一種可能的情況是，惡意程式會偵測使用者 Google Glass 準備顯示的資訊，然後替換成廣告、垃圾訊息、或其他內容。

駭客也可利用使用者的定位資訊來顯示適合當前位置的廣告或垃圾訊息。值得注意的是，駭客有許多不同方法來取得使用者所在位置。若駭客需要歷史資料 (過去造訪地點)，就可能需要利用一個惡意程式來避開手機的權限管制 (因為並非所有 App 程式都能存取定位資料)。另一種更簡單的方法是直接從穿戴式裝置取得。不過，裝置上可能並無歷史資料，因為裝置通常只記錄目前所在位置。

在這種情況下，駭客的賺錢方式是透過垃圾郵件/廣告活動或是點閱詐騙。這些很可能是廣泛性的攻擊而無特定目標。

下一篇，我們將探討第三種攻擊類型以及另一個潛在的攻擊管道。

如需更多有關穿戴式裝置的資訊，您可以參閱「穿戴式裝置的時代，您準備好了嗎？(Are You Ready For Wearable Devices?) 」一文以及「穿戴式裝置徹底剖析 (The Ins and Outs of Wearable Devices)」這份圖文解說。如需更多有關智慧型裝置的資訊，您可以造訪我們的「萬物聯網（IoE ,Internet of Everything）中文入網站。

◎原文出處：https://blog.trendmicro.com/trendlabs-security-intelligence/the-security-implications-of-wearables-part-2/作者：David Sancho (資安威脅高級研究員)

【 IoT 物聯網新趨勢】穿戴式裝置的潛在安全問題：下篇

2014 年 09 月 16 日2016 年 01 月 25 日趨勢科技 TrendMicro

在這系列的第二篇當中，我們討論了穿戴式裝置可能遭到的前兩類攻擊。本文將繼續探討第三類攻擊，也就是三者之中最危險的攻擊。

高使用者風險、低可行性的攻擊

這類攻擊是最危險的，但也最不可能發生。若駭客成功入侵了穿戴式裝置的硬體或網路通訊協定，那麼他們就能取得「輸入型」裝置的原始資料，並且能夠在「輸出型」裝置上顯示任何內容。

這種情況包括個人資料遭到竊取，以及篡改視訊攝影機所拍到的畫面。這樣的攻擊將嚴重影響裝置使用者，甚至可能妨礙使用者的日常生活。此外，若裝置是用於工作場所，這類攻擊還可能造成嚴重影響：一個簡單的阻斷服務 (DoS) 攻擊就能可讓醫師無法幫病患開刀，或者讓執法人員無法取得捉拿歹徒的資料。

有鑒於藍牙 (Bluetooth) 是目前這類裝置使用最廣氾的單一通訊協定，我們有必要在此補充說明一下。藍牙是一種類似 Wi-Fi 的近距離無線通訊協定，但兩者卻有一項很大的不同。Wi-Fi 基本上是透過一個「基地台」來彼此通訊，但藍牙的設計卻是採用點對點的方式。您必須將兩個裝置配對之後，雙方才能透過藍牙協定進行通訊。在配對的過程中，裝置會互相交換加密金鑰以建立通訊。另一項有別於 Wi-Fi 的地方是，藍牙會依照一定的程序來跳頻 (切換頻道) 以減輕外界無線電干擾。

這樣的設計讓駭客在破解藍牙裝置時將面臨兩道障礙。第一，駭客必須在兩台裝置一開始配對時就透過竊聽來取得加密金鑰。否則，若錯過了這個時間點，往後的任何通訊對於竊聽者來說都只是無意義的雜訊。第二，駭客若要進行阻斷服務攻擊，必須發送一個足以涵蓋此通訊協定廣大頻率範圍的雜訊，才能對它造成影響。這並非全無可能，但這樣的攻擊所需花費的力氣比任何其他無線電通訊協定都來得大。

雖然攻擊的可能性依然存在，但機率比其他攻擊類型小得多。而且駭客必須在離裝置不遠的地方發動攻擊，因此這類攻擊的用途非常有限。這類攻擊或許有高度的針對性，要不是所要攔截的資料對駭客價值非凡，就是干擾受害者接收訊息非常重要。這類潛在攻擊的目的極為獨特：可能非關錢財，且極具針對性。

在極端的情況下，若駭客能操控其中任何一方的裝置，就可能對另一方的裝置發動攻擊。駭客若完全掌控了裝置，至少可以利用它來連上網站。這或許能讓駭客點閱廣告來進行點閱詐騙，或是連上其他網站，或是對其他系統發動阻斷服務攻擊。要發動這類攻擊，駭客需了解如何在特定裝置上執行程式碼，而這通常不太可能或者不太可行，因此這應屬於不可能的情況。

圖 1：駭客控制了穿戴式裝置。

App 層次的攻擊

穿戴式裝置另一個可能的攻擊管道是 App 層次的攻擊以及攔截上傳到雲端的資料。這類攻擊可讓歹徒達到下列目的：

監聽本地端 App 程式所發送的資料。
竊取行動裝置上儲存的資料。

繼續閱讀

【 IoT 物聯網新趨勢】穿戴式裝置攻擊：從資訊安全人員角度思考

2014 年 09 月 16 日2016 年 01 月 25 日趨勢科技 TrendMicro

就在蘋果 (Apple) 發表了 Apple Watch 之後，「穿戴式裝置」又再度成為新聞話題。

最新的 Apple Watch 在便利性和連線能力上帶來了諸多創新。有別於其他智慧型手錶，這些手錶有些甚至看來非常有型。

然而，Apple Watch 也引發了各種隱私權和資訊安全的問題。尤其是 Apple Watch 新的健康追蹤功能讓人們對這類敏感資訊安全性感到質疑。

對於資訊安全人員來說，安全不僅關乎行為，還關乎思維。趨勢科技研究人員David Sancho 最近剛發表了三篇有關穿戴式裝置的一系列文章，這些文章可協助您從資訊安全人員的角度來看待這些裝置。

這些文章能讓您對穿戴式裝置所有潛在威脅有一番全面認識，而非僅限於 Apple Watch 而已。

隨著穿戴式裝置逐漸成為一股新興科技潮流，您不僅必須了解個別穿戴式裝置所牽涉的問題，還要具備自行判斷的能力。

此系列文章能幫助您從資訊安全的角度、而非單純的使用者觀點來看待穿戴式裝置。

請花一點時間來閱讀 David 的這三篇短文：

ioe4

◎原文出處：https://blog.trendmicro.com/attacking-wearables-thinking-like-security-person/

《 IoT 物聯網安全趨勢》採購智慧型裝置該注意些什麼?

2014 年 09 月 15 日2016 年 01 月 25 日趨勢科技 TrendMicro

消費者採購家用智慧型裝置時應注意的安全考量
在家庭智慧化一文中，我們討論了未來可能影響全球家用智慧型裝置普及化的因素。隨著居家環境越來越智慧化，新的安全挑戰也逐漸形成。過去一年，我們看到針對家用智慧型裝置，如嬰兒監視攝影機、電視、無線交換器、電燈等等的攻擊不斷持續增加。

有鑑於我們對智慧型裝置的多年研究，我們覺得有必要為考慮採購家用智慧型裝置的消費者提供一些安全原則。

消費者應熟悉我們以下討論的幾項選購條件，此外，我們也認為智慧型裝置製造商應該更注重裝置的預設安全性。

延伸閱讀：看看萬物聯網 (Internet of Everything) 如何讓生活更便利

範圍
選購條件
使用者名稱和密碼的考量
更新方便性
加密
開放的連接埠
電力需求
漏洞
結論

本文將針對目前及未來短期之內消費者可能採購的家用智慧型裝置探討其安全原則與選購條件。此外，我們主要探討美國境內所能買到的智慧型裝置。

請注意，這些安全原則只是智慧型裝置採購時所應考慮的其中一環，除此之外，消費者還應該考量居家裝置管理員 (Administrator of Things，或簡稱 AoT) 每天或每週花在裝置安全及確保裝置正常運作所需的時間和精力，其中包括更新韌體、找出故障裝置、重新連線和連接裝置、更換電池、檢查連線、診斷技術問題、重新設定存取權限、更新裝置控制 App 程式等等，這些工作並非一般人所能勝任。

本文的「智慧型裝置」一詞涵蓋範圍如下：

傳統資訊安全領域以外的消費型裝置，因此本文不會討論 PC、平板或智慧型手機。
具備充分運算能力可獨立彈性運作、且運作時可直接或間接連上網際網路的裝置。
主要用於居家環境，而非穿戴式裝置或智慧型汽車之類非以家用為主的裝置。家用智慧型裝置的範例包括：家電 (如智慧型洗碗機、智慧型冰箱)、視聽設備 (如智慧型電視、影音接收器、電玩遊戲主機、智慧型喇叭)、保全與管理裝置 (如智慧型集線器、感應器)、能源計量表等等。

以下是身為消費者的您在選購家用智慧型裝置時所應考量的安全條件。

選購條件

使用者名稱和密碼的考量

問：智慧型裝置是否具備安全認證功能？
例如，智慧型裝置是否需要輸入使用者名稱和密碼才能存取？許多智慧型裝置完全不具備安全認證功能。設計良好的智慧型裝置應具備某種認證功能來讓擁有者管制存取權限。

有些智慧型裝置製造商的產品不具備任何認證功能，而是靠其他方法來管制存取權限。某些廠商甚至假設您的家用 Wi-Fi 網路應提供這方面的功能。不幸的是，這讓智慧型裝置非常容易遭到攻擊，因為，任何能夠連上您家用 Wi-Fi 網路的人都能輕易攔截、監聽或攻擊這些裝置。

問：智慧型裝置在首次安裝時是否會要求您變更使用者名稱和密碼？
設計良好的智慧型裝置在第一次安裝時會要求您修改預設的登入帳號和密碼。修改預設的帳號和密碼可防止駭客利用公開的預設使用者名稱和密碼來登入您的裝置。

當家用智慧型裝置首次安裝時，您通常需要將它連上網際網路來確認它是否正常運作，包括檢查其主要功能和管理功能，例如更新韌體。不幸的是，當裝置第一次安裝時 (或者是裝置重設時)，裝置預設的密碼通常都很簡單。智慧型裝置常見的預設使用者名稱是「admin」，而預設密碼通常為空白，有時密碼會和使用者名稱相同。

延伸閱讀：密碼安全性：如何強化密碼來提升安全性

Shodan 搜尋引擎是一個今日連網智慧型裝置的超大型目錄，從它就能看出預設密碼的威脅有多大。透過這個搜尋引擎來搜尋您連線的裝置，就能迅速了解此普遍存在問題。就在去年，一家名為 Foscam 的 IP 攝影機製造商發現其裝置的預設帳號密碼讓客戶暴露在潛在的網路監聽威脅當中，從那時起，至今已發生多起利用該漏洞的知名監聽事件。雖然 Foscam 宣稱已修復此問題，但其最大挑戰在於讓所有客戶都套用修補程式。目前仍有許多其他裝置製造商仍在使用預設的帳號密碼。

一旦裝置完成首次部署並上線運作之後，除非發生技術性問題，否則裝置可能很長一段時間之內都不會再重新設定。因此，預設的帳號密碼，加上首次設定時未強迫使用者變更密碼，您可想像這些裝置的安全性有多麼堪慮，這正是為何在首次部署時即修改帳號密碼非常重要。

若要了解您考慮購買的裝置是否存在這方面的問題，您可試試下列步驟：