物聯網（IoT） - 資安趨勢部落格

《物聯網（IoT）安全趨勢》在您套上那「穿戴式裝置」之前…

2014 年 09 月 12 日2016 年 01 月 25 日趨勢科技 TrendMicro

前美國副總統錢尼的醫師將其心臟幫浦的無線功能關閉以防範恐怖分子攻擊一事，即明白地告訴我們，有些裝置一旦發生故障，後果將不堪設想。

再也沒有其他展覽能像消費性電子展(CES) CES 那樣能讓人一窺光明的未來。不過，今年的 CES 大展卻讓人覺得暗潮洶湧。今年展場上最令人振奮的產品就是穿戴式裝置，然而這些裝置的背後卻潛藏著嚴重的隱私及安全疑慮。隨著物聯網（IoT ,Internet of Things）時代快速逼近，隱私權與安全的相關風險也迅速攀升。

今年 CES 大展上最夯的一詞就是穿戴式裝置，這可說是「穿戴式運算」的縮影。穿戴式裝置涵蓋了各式各樣可能穿戴在身上的裝置，如 Google Glass、穿戴式視訊攝影機、智慧型手錶、健身手環等等，甚至還有珠寶也能變成裝置。穿戴式裝置將行動運算的無拘無束和隨時連線帶到一個全新的境界。

不過，隨著人們與網際網路的關係越來密切，很重要的就是了解伴隨這些新式裝置而來的風險和影響。例如根據 GPS 定位來記錄您運動路線的健身手環，有可能被不肖之徒用來追蹤您日常生活的路線與習慣，以及您當下的所在位置。此外，可輕易且幾乎無形地錄下生活影像的裝置，也對公共場所的隱私權帶來重大考驗。

除了資料與隱私權保護的問題之外，這類裝置連上網際網路之後也會帶來巨大的安全疑慮。過去，每當我們有新式裝置連上網際網路時，就會因為這些裝置遭到攻擊和破壞而學到痛苦的教訓。前美國副總統錢尼的醫師將其心臟幫浦的無線功能關閉以防範恐怖分子攻擊一事，即明白地告訴我們，有些裝置一旦發生故障，後果將不堪設想。我們也看到一些安全漏洞讓駭客挾持了筆記型電腦上的網路攝影機，因此我們合理懷疑具備錄影功能的穿戴式裝置也同樣可能遭到攻擊。您怎麼知道誰正在觀看您好友的 Google Glass 裝置所拍到的畫面？

繼續閱讀

《 IoT 物聯網安全趨勢》高科技家庭越來越有智慧

2014 年 09 月 10 日2016 年 01 月 25 日趨勢科技 TrendMicro

ioe 高科技家庭越來越有智慧 — 圖文解說：明日自動化家庭有多麼容易遭到網路犯罪攻擊？ (點小圖看放大全圖)

明日的連網自動化家庭時代已經來臨，遲早，數以百萬計的家庭都將習慣這樣的生活方式。

未來不久，人們一回到家就會聽到門口監視攝影機作動的聲音，隨時監視著門口的狀況。很快地，智慧型門鎖與動作感應裝置就會成為家庭保全的標準配備。智慧型電視將讓您輕鬆錄製節目或拍攝照片，並直接上傳至網際網路。智慧型冰箱可幫助一些注重養生的人們控制飲食，甚至幫忙訂購需要補充的日用品。

雖然連網的家庭與家電將帶來輕鬆和便利，但卻也製造了各式各樣的網路犯罪機會，因為歹徒總是會往「錢」和「人」最多的地方聚集。

連網自動化裝置數量不斷增加，對於目前最夯的萬物聯網概念固然是件好事，但安全漏洞的數量也會隨之增加，這樣的情況已經發生在桌上型電腦與行動裝置。安全的問題可能來自家電本身、來自安全問題修補的程序，或是來自人為的錯誤和安全情況的誤判。

大家務必仔細評估家庭自動化的優、缺點。使用監視攝影機、動作感應器、智慧型門鎖以及其他保全裝置，或許能輕易地增加安全性，但也它們也可能成為駭客用來觀察您是否有人在家的工具。

內建視訊攝影機和麥克風的智慧型電視或許能為使用者提供便利的個人化設定，但也能讓網路犯罪者挾持這些設備而暗中監視使用者。安裝車用電腦或許能讓車主輕鬆地更新一些重要但繁瑣的設定，但也可能引來駭客入侵的風險。就連具備上網購物功能的智慧型冰箱，也可能成為歹徒竊取銀行帳號資訊的途徑。

了解智慧型家庭可能遭到駭客攻擊的各種情境，是您安全地探索及使用明日自動化家庭裝置的關鍵。
◎原文出處：https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/high-tech-homes-get-smarter

【 IoT 物聯網新趨勢】穿戴式裝置的潛在安全問題：上篇

2014 年 09 月 09 日2016 年 01 月 25 日趨勢科技 TrendMicro

由於萬物聯網 Internet of Everything (有時亦稱「物聯網」Internet of Things) 的風潮使然，每一家電子產品商店都開始出現全新類型的電子產品。智慧型穿戴式裝置正以您意想不到的速度蔓延開來。雖然不是每個人都會購買 Google Glass，但可以確定很多人都會購買健身記錄器，甚至是智慧型手錶。

所謂「穿戴式裝置」，就是人們日常生活上會穿戴在身上的一些設備。這些設備的作用通常是記錄身體的活動機能，或者顯示其他裝置輸出的內容，兩種用途還可以加乘，讓使用者的生活更多采多姿。

在接下來的一系列文章當中，我們將探討穿戴式裝置可能潛藏的攻擊和風險。但請記住，這只是理論上或概念上的推測，而非已經發生的事實，因此未來有可能發生、也可能不會發生，還得看未來電子產品市場將如何演變，以及歹徒是否有其他更有利可圖的目標。在這兒，我們的目的並非要嚇唬使用者，讓使用者避開這類新式產品，而是要鼓勵廠商從一開始就在產品當中融入安全性。

三大裝置類型

穿戴式裝置基本上可分為三大類型：

1.「輸入型」裝置：這些是無時不刻都在記錄使用者資料的感應裝置，例如，幫使用者記錄步伐、距離、能量消耗、卡路里、心跳、GPS 定位等等的健身記錄器。這類裝置通常會先將資料儲存在裝置上，然後再上傳到手機或 PC，然後再同步到使用者的雲端帳號以保留歷史記錄與顯示統計圖表。未來還會出現一些可監控健康狀況 (如體溫、血氧濃度等等) 的醫療裝置。

2.「輸出型」裝置：這些是接收其他裝置 (如手機) 輸出資料的裝置，如智慧型手錶。這些裝置可顯示文字和其他應用程式資料來提升便利性，其顯示的資料通常來自網際網路，並且透過中介裝置傳遞。繼續閱讀

《 IoT 物聯網安全趨勢》保障萬物聯網的安全，新舊網路安全威脅都需留意

2014 年 09 月 05 日2016 年 01 月 25 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Things）是目前正逐漸興起的無線連網裝置生態體系的一個統稱，如恆溫系統、汽車、擴增實境眼鏡都涵蓋在內。對科技業者來說這是一個龐大的商機，對網路犯罪集團來說也是一大攻擊目標。在 2014 年美國消費電子展 (Consumer Electronic Show) 上，Cisco 執行長 John Chambers 大膽預估 IoT在未來五年之內將發展成一個 19 兆美元的市場，這樣的說法一點也不誇張。市場研究機構 McKinsey 預測，到了 2025 年，IoT 的應用將創造高達 33 兆美元的經濟活動，而 Gartner 也認為至 2020 年其預期效應將高達 2 兆美元左右。然而，隨著廠商和大眾對 IoT 逐漸熟悉，人們是否已準備面對這更智慧的連網基礎架構所帶來的風險？

正當 IoT科技攻城略地的同時，安全的考量已退居第二
物聯網（IoT）的時代已經來臨，只是消費者可能還無感覺，因為一些最典型應用目前仍訴求在特定的利基市場。例如，今年 CES 的攤位上四處可見各種內建感應器的健康/健身手環與記錄器，仿佛就是 Nike+ Fuelband 與 Jawbone Up 的翻版。這些裝置獲得了大量的媒體關注，但卻未能像智慧型手機和平板一樣引起大眾普遍認同。根據 ABC News 的報導，市場研究網站 NerdWallet 估計健身記錄器的市場大約在 8,500萬美元 (2013 年) 之譜，僅占今日數十億美元手機市場的微小部分。

然而，科技大廠卻認為物聯網（IoT）裝置很快就會引起消費者的興趣並投下大筆賭注，Google 就是一例。該公司最近併購了 Nest 這家專門生產連網恆溫系統的公司，進一步鞏固自己在物聯網（IoT）硬體的地位。此外，雖然 Google Glass 抬頭顯示器目前不論在商業上或文化上都還是個不成氣候的產品，但其無所不在的媒體與連網體驗很可能刺激 Facebook 併購專門開發遊戲虛擬實境頭盔的 Oculus 公司。正當廠商忙著爭奪 IoE 版圖並尋找下一個主要運算平台的同時，安全的考量卻因商業利益而退居第二。

趨勢科技研究人員 Robert McArdle 指出，擴增實境 (AR) 很可能在 2014 年開始邁入主流市場，部分原因是其適用的情境不適合使用手機，其次就是 Oculus Rift 虛擬實境頭窺的創新技術，以及網路犯罪者過去一向喜歡鎖定遊戲玩家的趨勢。最近，針對《英雄聯盟》遊戲伺服器的分散式阻斷服務攻擊以及 2011 年發生的 Sony PlayStation Network 資料外洩事件，都證明了這類風險的存在，而 AR 和 IoE 的時代來臨將開啟全新的漏洞。

McArdle 表示：「擴增實境最適用的領域就是身歷其境式體驗，而這正是 Google Glass 和 SpaceGlasses 這類穿戴式科技派上用場的地方。這類裝置在技術上或心理上都可能遭到一些獨特的攻擊。舉例來說，這些裝置的使用者基本上就像是頭上戴了一台相機四處走動一般。專門開發網路銀行惡意程式的歹徒不難發現這是一個偷取銀行帳號密碼的絕佳工具。」

這類將桌上型電腦與行動裝置惡意程式技術移植到 IoT 裝置的威脅，已經迫在眼前。若消費者對物聯網（IoT）裝置興趣缺缺，將使得惡意程式的攻擊目標有限，因而不值得網路犯罪集團投入太多資源來破解 AR 頭窺或智慧型手錶。不過，物聯網（IoT）還有一些較不鮮光亮麗的領域已經開始遭到攻擊，並且出現一些未來可能招致更多問題的漏洞。

VoIP 網路電話與路由器漏洞
網路基礎架構是 IoT 的骨幹，隨著越來越多裝置開始連上 IP 網路，除了端點裝置本身之外，路由器和交換器的安全性將變得更加重要。

儘管 Cisco 大力股吹 IoT 的未來潛力，但這家網路大廠也不得不針對其多款熱門無線區域網路控制器釋出安全性更新。在更新之前，這些裝置很可能遭歹徒入侵，進而利用其網路發動 DDoS 攻擊或取得管理權限。另外，最近出現的 Moon Worm 威脅，上個月也讓許多舊款 Linksys 路由器使用者頭痛不已。這項威脅利用了一個可略過認證機制的漏洞來取得路由器控制權，並且會自我複製。繼續閱讀

《 IoT 物聯網安全趨勢》行動安全和物聯網：智慧型手機成為遠端控制中心的問題

2014 年 08 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

自從手機熱潮開始，智慧型手機已經成為我們生活中不可或缺的一部分，它們也是今日快節奏的世界裡不可缺少的東西。它們可以幫我們無時無刻地連結到我們的朋友和家人，也讓我們可以點一點螢幕就完成我們的日常工作。我們和智慧型手機已經形成如此牢固的關係，也讓網路犯罪份子將其納入他們獲取金錢的攻擊目標。無論是好是壞，智慧型手機已經成為我們日常生活必備工具的重要部分。

隨著改變之風吹起，智慧型手機似乎會成為我們生活中更重要的一部分，而這和物聯網有關。當iOS 8推出時，Apple同時介紹了HomeKit，這是一個可以幫助使用者在家裡管理第三方物聯網設備的應用程式服務。有了HomeKit，使用者可以將安裝在一個房間裡的設備都群組起來，對每個房間群組都設定唯一的參數/控制。這讓使用者可以方便地修改設定，不管是房間到房間或更加細微的設定。在本文撰寫時，Google還沒有提供對應的產品，但我們在未來的日子裡一定會看到。

隨著這樣的發展，我們已經可以預期它會成為下一件大事情，不管是因為其所帶來的整體方便性或是酷的程度。從這電子玩意來控制家中幾乎所有的東西時，什麼是最便利的，和老實說 – 最令人興奮的部分？像是你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

但這只是硬幣的一面。另一面，不幸的，將智慧型手機加入到你的自動化住家生態系統可能不是最安全的決定。因為該平台有許多安全隱憂 – 我們已經在這部落格討論了不少 – 可能會帶到你家中具備物聯網功能的設備，進而讓你容易受到網路犯罪攻擊。網路犯罪份子駭入你的手機來替你訂閱加值服務？已經有了。網路犯罪份子透過你的手機駭入你的保安系統，將其關閉好讓他們可以搶你？這很有可能發生！

物聯網（IoT ,Internet of Things）是這網路時代所出現技術裡最令人興奮的概念之一。帶領著我們一步步地接近未來世界的住家，大多數（如果不是全部）家電不僅可以連到網路上，也可以透過一中央控制中心來實現全面的控制和自動化，無論我們身在哪裡（或至少，只要我們可以連網。）

然而，不管如何令人興奮，我們還是要小心地進行。因為大多數應用在這新時代的技術仍是基於目前的行動設備技術（智慧型電視、智慧型家電等），有可能遭受和今日行動設備相同的安全問題。

還有一個事實就是，行動設備（尤其是智慧型手機）可能很快就會成為我們住家的「中央控制中心」，因為我們用它來管理我們所有的家電和保全系統。Google和Apple已經開始在各自的行動平台上制定住家自動化管理應用程式。比方說，最近所推出的iOS8 Homekit，宣稱可以完全控制住家和內部所有的網路設備，而且可以讓使用者輕易地根據所在房間來群組設備。

那麼想想看，這對物聯網（IoT ,Internet of Things）會有什麼潛在風險。它讓網路犯罪份子駭入別人的智慧型手機進而進入別人家中不再只是科幻幻想，而是可能發生的現實場景。行動設備已經趕上了個人電腦，成為最被針對的平台。所以毫無疑問的，網路犯罪份子會找到方法來開發此新領域的財路。

可能出現的風險

使用智慧型手機作為自動化住家的中央遙控器意味著這平台內的所有安全威脅都可能會影響到住家。下面是這些威脅例子和它們會如何影響到自動化的住家：

作業系統漏洞 – 網路犯罪分子可以利用智慧型手機作業系統底層的漏洞來控制智慧型手機，進而可以控制自動化住家，像是關閉保全系統，甚至監視家人活動來進而勒索或資料竊取。
應用程式漏洞 – 應用程式漏洞可被利用來取得收發的資料以達到竊取或勒索的目的。甚至可以再次用來控制整個控制中心，或防止惡意軟體被偵測或移除。
行動惡意軟體 – 手機惡意軟體可以用來攔截或竊取來自控制中心和與其連接設備的資料或透過遠端惡意攻擊來取得控制中心的控制權。它也可能會感染帶有螢幕的電器使其出現廣告軟體或惱人的彈出視窗。
高風險應用程式 – 這應用程式不一定是惡意軟體，但被編寫來收集和儲存資料，可能會被不安全的使用。可以被利用來竊取導致滲透家中網路的資料。
實體遺失/被竊/破壞 – 智慧型手機（也就是控制中心）的遺失/被竊/破壞不僅會讓使用者無法進入自己的家或開啓/關閉必要的系統，也讓網路犯罪分子能夠非法進入他家。這問題的嚴重性不僅在於控制中心的安全性，還包括整個房子。控制中心被破壞也意味著要重新佈線和將一切設定回原狀，這都要花費寶貴的時間和資源。
不安全的連線 – 管理連接系統的專有應用程式和控制中心可能不會使用加密來保護他們在網路上收發的資訊。這可能會導致資料外洩或被竊取。儲存在智慧型手機本身的資料也可能被偷走。

我們可以從這些潛在威脅看出用來作為自動化住家遠端控制中心的智慧型手機如果被駭，後果有多可怕。不僅會讓不法份子有可能控制你的住家和設備，也可能竊取資料。

一個情境例子：使用者在上班，遠離了他的自動化住家，將他Android作業系統的智慧型手機註冊和安裝為控制中心。使用者不知道的是，網路犯罪份子已經透過漏洞入侵了他的智慧型手機 – 可能是因為從第三方網站替他最愛的遊戲下載一個「正常的更新程式」。這更新將惡意程式碼插入原本正常的遊戲程式，有效地將其木馬化，但仍然讓它保留正常使用狀態。繼續閱讀