萬物聯網 - 資安趨勢部落格

《 IoT 物聯網安全趨勢》行動安全和物聯網：智慧型手機成為遠端控制中心的問題

2014 年 08 月 26 日2016 年 01 月 25 日趨勢科技 TrendMicro

你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

自從手機熱潮開始，智慧型手機已經成為我們生活中不可或缺的一部分，它們也是今日快節奏的世界裡不可缺少的東西。它們可以幫我們無時無刻地連結到我們的朋友和家人，也讓我們可以點一點螢幕就完成我們的日常工作。我們和智慧型手機已經形成如此牢固的關係，也讓網路犯罪份子將其納入他們獲取金錢的攻擊目標。無論是好是壞，智慧型手機已經成為我們日常生活必備工具的重要部分。

隨著改變之風吹起，智慧型手機似乎會成為我們生活中更重要的一部分，而這和物聯網有關。當iOS 8推出時，Apple同時介紹了HomeKit，這是一個可以幫助使用者在家裡管理第三方物聯網設備的應用程式服務。有了HomeKit，使用者可以將安裝在一個房間裡的設備都群組起來，對每個房間群組都設定唯一的參數/控制。這讓使用者可以方便地修改設定，不管是房間到房間或更加細微的設定。在本文撰寫時，Google還沒有提供對應的產品，但我們在未來的日子裡一定會看到。

隨著這樣的發展，我們已經可以預期它會成為下一件大事情，不管是因為其所帶來的整體方便性或是酷的程度。從這電子玩意來控制家中幾乎所有的東西時，什麼是最便利的，和老實說 – 最令人興奮的部分？像是你的冰箱會在你出門時傳簡訊提醒你蛋快沒有了，或當你離開家時遠端關閉你突然想到的電器，這些都很吸引人，而智慧型手機廠商也正在試圖提供我們這樣的未來。

但這只是硬幣的一面。另一面，不幸的，將智慧型手機加入到你的自動化住家生態系統可能不是最安全的決定。因為該平台有許多安全隱憂 – 我們已經在這部落格討論了不少 – 可能會帶到你家中具備物聯網功能的設備，進而讓你容易受到網路犯罪攻擊。網路犯罪份子駭入你的手機來替你訂閱加值服務？已經有了。網路犯罪份子透過你的手機駭入你的保安系統，將其關閉好讓他們可以搶你？這很有可能發生！

物聯網（IoT ,Internet of Things）是這網路時代所出現技術裡最令人興奮的概念之一。帶領著我們一步步地接近未來世界的住家，大多數（如果不是全部）家電不僅可以連到網路上，也可以透過一中央控制中心來實現全面的控制和自動化，無論我們身在哪裡（或至少，只要我們可以連網。）

然而，不管如何令人興奮，我們還是要小心地進行。因為大多數應用在這新時代的技術仍是基於目前的行動設備技術（智慧型電視、智慧型家電等），有可能遭受和今日行動設備相同的安全問題。

還有一個事實就是，行動設備（尤其是智慧型手機）可能很快就會成為我們住家的「中央控制中心」，因為我們用它來管理我們所有的家電和保全系統。Google和Apple已經開始在各自的行動平台上制定住家自動化管理應用程式。比方說，最近所推出的iOS8 Homekit，宣稱可以完全控制住家和內部所有的網路設備，而且可以讓使用者輕易地根據所在房間來群組設備。

那麼想想看，這對物聯網（IoT ,Internet of Things）會有什麼潛在風險。它讓網路犯罪份子駭入別人的智慧型手機進而進入別人家中不再只是科幻幻想，而是可能發生的現實場景。行動設備已經趕上了個人電腦，成為最被針對的平台。所以毫無疑問的，網路犯罪份子會找到方法來開發此新領域的財路。

可能出現的風險

使用智慧型手機作為自動化住家的中央遙控器意味著這平台內的所有安全威脅都可能會影響到住家。下面是這些威脅例子和它們會如何影響到自動化的住家：

作業系統漏洞 – 網路犯罪分子可以利用智慧型手機作業系統底層的漏洞來控制智慧型手機，進而可以控制自動化住家，像是關閉保全系統，甚至監視家人活動來進而勒索或資料竊取。
應用程式漏洞 – 應用程式漏洞可被利用來取得收發的資料以達到竊取或勒索的目的。甚至可以再次用來控制整個控制中心，或防止惡意軟體被偵測或移除。
行動惡意軟體 – 手機惡意軟體可以用來攔截或竊取來自控制中心和與其連接設備的資料或透過遠端惡意攻擊來取得控制中心的控制權。它也可能會感染帶有螢幕的電器使其出現廣告軟體或惱人的彈出視窗。
高風險應用程式 – 這應用程式不一定是惡意軟體，但被編寫來收集和儲存資料，可能會被不安全的使用。可以被利用來竊取導致滲透家中網路的資料。
實體遺失/被竊/破壞 – 智慧型手機（也就是控制中心）的遺失/被竊/破壞不僅會讓使用者無法進入自己的家或開啓/關閉必要的系統，也讓網路犯罪分子能夠非法進入他家。這問題的嚴重性不僅在於控制中心的安全性，還包括整個房子。控制中心被破壞也意味著要重新佈線和將一切設定回原狀，這都要花費寶貴的時間和資源。
不安全的連線 – 管理連接系統的專有應用程式和控制中心可能不會使用加密來保護他們在網路上收發的資訊。這可能會導致資料外洩或被竊取。儲存在智慧型手機本身的資料也可能被偷走。

我們可以從這些潛在威脅看出用來作為自動化住家遠端控制中心的智慧型手機如果被駭，後果有多可怕。不僅會讓不法份子有可能控制你的住家和設備，也可能竊取資料。

一個情境例子：使用者在上班，遠離了他的自動化住家，將他Android作業系統的智慧型手機註冊和安裝為控制中心。使用者不知道的是，網路犯罪份子已經透過漏洞入侵了他的智慧型手機 – 可能是因為從第三方網站替他最愛的遊戲下載一個「正常的更新程式」。這更新將惡意程式碼插入原本正常的遊戲程式，有效地將其木馬化，但仍然讓它保留正常使用狀態。繼續閱讀

《 IoT 物聯網新趨勢》威脅將伴隨智慧型科技而來

2014 年 08 月 20 日2016 年 01 月 25 日趨勢科技 TrendMicro

科技進步帶來了更強大的裝置。由於物聯網（IoT ,Internet of Things）的發展，現在人、裝置與流程之間終於有了斬新的高科技無線連結。各種產業都已開始趕搭物聯網（IoT ,Internet of Things）的列車，推出具備新奇遙控功能的家電產品。現在，App 程式可以和家用電器溝通。例如，可遠端遙控家中的燈光或花園的灑水裝置。

點小圖可看大圖

隨著IoE 的崛起，一些日常熟悉的家用電器與個人產品也都出現新的發展。現在，超高解析度的 4K 電視大多能連上網際網路，甚至具備臉部或姓名辨識功能。一些運算能力強大的穿戴式裝置和智慧型手機等個人產品，現在也成了一般日常生活用品。根據研究預測，到了 2018 年，光是智慧型手錶的全球出貨量就將達到 2 億 1,400 萬。

具備IoT 功能的裝置普及率只會越來越高。不用多久，我們就會看到速度更快的智慧型手機、自動化程度更高的汽車、遊戲畫面更逼真的電玩主機。
不幸的是，隨著連網的未來步步逼近，網路犯罪者也已做好準備。新的科技帶來了新的攻擊機會。智慧型電視當中儲存的資訊，很可能是駭客獲取個人資訊的下一個目標。新的電玩主機也可能促使網路犯罪者開發出專門針對玩家和遊戲服務的威脅。自動駕駛汽車很可能被駭客入侵並遭到篡改，進而危及乘客安全。
新科技已全面來臨，在享受新科技的同時，請務必確保自身的安全，防範竊盜及其他危險。

@原文來源 ttp://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/smart-technologies-are-linked-to-threats

萬物聯網（IoE ,Internet of Everything）相關中文報導,請看這裡

《 IoT 物聯網安全趨勢》交通號誌遭駭客入侵：IoT 安全成為焦點

2014 年 08 月 20 日2016 年 01 月 25 日趨勢科技 TrendMicro

直到最近，物聯網（IoT ,Internet of Things）的安全性大多只是紙上談兵，因為 IoT才剛萌芽，普及率仍低。正如趨勢科技趨勢科技威脅研究員 Robert McArdle 今年稍早所言，儘管有 Google 等各家廠商的努力，IoT 仍缺乏可讓它普及的「殺手級應用」。

然而，企業與資安廠商卻仍擔憂將網際網路拓展至各種內嵌式感應器與家電之後可能帶來的潛在風險。不過截至目前為止，網路安全仍大多以 PC、行動裝置、伺服器與網路為主，IoE 只是一個龐大的潛在市場，而非快速崛起的勢力。Cisco 認為 IoT 未來將是一個 19 兆美元的商機，但是網路安全能否有效跟進以應付這全新的運算情勢？

美國北卡羅來納州交通部 (Department of Transportation) 道路交通號誌遭駭客入侵事件突顯 IoT 的全新風險
IoT 最獨特的一點就是它涵蓋了傳統認知上並非「電腦」的端點裝置。高速公路交通號誌即是一例。縱然這些號誌也配備了電子式顯示器 (雖然跟今日的智慧型手機和平板比起來顯得很陽春) 但很少人會與它們互動或特別留意到這些號誌，這些號誌看起來更像告示牌而非可駭入的裝置。

美國北卡羅來納州交通部的負責管理的一些交通號誌日前遭到一名駭客入侵，駭客將標誌上的內容改成「Hacked by Sun Hacker Twitt Wth Me」(駭客 Sun Hacker 在此，上 Twitter 來找我)，目的是要駕駛人上 Twitter 找他。這訊息一點也不像在開玩笑，而且這樣的行為儼然形成一股令人擔心的潮流：

早在 2009 年，Jalopnik 之類的網站即顯示出道路交通號誌多麼容易遭到入侵。有觀察者指出，這些設備缺乏實體安全措施可防止篡改行為，同時又普遍採用預設密碼 (如「DOTS」)。該事件後來的演變是交通號誌內容被改成「Warning, Zombies Ahead」(小心，前有殭屍)。
高速公路交通號誌屬於公共安全資產。若是遭到駭客入侵，可能會讓用路人收到錯誤訊息，導致交通打結或交通意外。該事件中的訊息還好只是自我推銷，並無實質誤導的情形，但真實傷害的可能性確實存在。
北卡羅來納州這起事件以及後續的倣效案例，或許是受到日前推出的家用電玩主機熱門遊戲《看門狗》(Watch Dogs) 之影響。《看門狗》遊戲場景設定在未來世界的芝加哥，遊戲中強調駭入基礎建設 (如交通號誌) 的情節。McArdle 在他的貼文當中也提到，玩家所處的空間 (幾乎被 Oculus Rift 之類的電子裝置所淹沒) 正如同 IoT 科技普及的前兆。

此攻擊事件的技術細節目前外界仍不清楚。Sun Hacker 在 Twitter 上宣稱，要更改交通號誌顯示內容必須駭入一個 NCDOT VPN，不過，美國境內一些類似事件的調查人員表示，該攻擊應該是利用了簡易網路管理通訊協定 (Simple Network Management Protocol，簡稱 SNMP) 訊息的漏洞。此外，駭客也可能趁機修改已遭入侵的數據機密碼，讓修復工作更加困難。NCDOT 宣稱已知道自己的系統如何遭到入侵，並且正在修補相關漏洞。

NCDOT 資訊長 David Ulmer 表示：「我們非常嚴正看待此次的網路事件。我們不僅正在與執法機關共同追查此一嚴重事件，更針對我們的設備和 IT 基礎架構進行重複掃瞄以確保任何其他漏洞皆已修補完畢。」繼續閱讀

《 IoT 物聯網新趨勢》你家需要智慧型電視嗎?

2014 年 08 月 19 日2016 年 11 月 01 日趨勢科技 TrendMicro

時代終於來臨。還記得那些科幻影集當中的未來世界，人們只要用嘴巴大喊一聲，或是揮一揮手就能切換電視頻道嗎？互動式連網智慧型電視的時代終於要來臨了，原本遙不可及的假想電視機即將成真，而且甚至更好。

智慧型電視是一種內建電腦作業系統而且能連接網際網路的電視。因此，這些電視能執行特殊用途的應用程式，並存取其他線上內容和資訊。它們可設定針對特定族群提供特定內容，例如，透過家長監護功能，兒童就不會看到不當的內容。

這類電視也可以綁定某個儲值帳號，因此想要觀賞隨選節目只需輕鬆點一下即可。它們甚至可以當成其他內容的儲存和播放裝置，如：相片、音樂及影片。由於電視或影片觀賞經常被視為一種社交的潤滑劑，因此，您也可以直接在智慧型電視上更新您的 Facebook 狀態，針對某個節目發表意見，並看看他人的回應。

以目前智慧型電視的銷售速度來看，這些電視的產量預計將從 2012 年的 6,900 萬台成長到 2016 年的 1 億 9,800 萬台。屆時，85% 的平面電視都將是智慧型電視。

智慧型電視將為網路使用者帶來新的使用習慣，有 60% 的使用者將直接透過電視觀賞網路影片、15% 從網路收聽音樂、10% 瀏覽網站、6% 存取檔案。

: 點擊小圖可放大

infographic 資料圖表 IOE-Smart TV 智慧型電視

既然智慧型電視必須儲存個人資訊才能讓使用者存取網路帳號，因此網路犯罪者自然而然會想要竊取這些資訊。網路犯罪者一旦取得您的資訊，他們就會利用暴力破解方式來試圖取得更多資料。這並非一件難事，由於智慧型電視沒有實體鍵盤的關係，絕大多數的成年人 (英國為 55%) 都只使用很容易猜測的簡單密碼。

有鑑於此，維護安全是智慧型電視使用者很重要的一件事。帳號保護、家用網路安全、節目控管都非常重要。智慧型電視使用者應在網路帳號上使用強化密碼，在家用路由器上設定複雜的登入資訊，並且投資一套可過濾內容並提供家長監護功能與安全控管的防護軟體。

◎原文來源: https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/are-smart-tvs-ready-for-prime-time

Raspberry Pi (樹莓派)蘊藏潛力也暗藏風險

2014 年 08 月 15 日2019 年 06 月 24 日趨勢科技 TrendMicro

Raspberry Pi 樹莓派是一種有如信用卡般大小的微電腦模組。不過，可別讓它小巧的體積給唬了。它原本是專為學生設計的一種低成本電腦程式設計輔助工具，但它豐富的多元性卻讓它應用到各式各樣的專案。有許多人發揮創意為 Pi 找到了很酷的用途，例如將它改造成無線路由器、私人音樂串流裝置，甚至變成一台可幫您泡咖啡的機器人。

圖文解說：Raspberry Pi 是否需要安全防護？(點小圖可放大)

它不僅用途廣泛，而且定價只有 25 美元，大約是五個大麥克漢堡或三個月 Xbox Live® 金會員資格的價格。這正是 Pi 在美國大賣的原因。

Pi 輕輕鬆鬆就登上 DIY 之王，它可以用來建立強大的系統。它提供了 SD 卡插槽、USB 連接埠、乙太網路連接埠、RCA 插槽、HDMI 連接埠、音訊輸出以及 micro USB。因此，您可以擴充它的儲存容量、用它來播放多媒體、或者用它來連上網際網路。您可以將它打造成一台行動電腦、檔案伺服器、居家保全控制盒、遊戲裝置、玩具或創意電子設備，或是當成教學工具。

但它也不是沒有風險。Raspberry Pi 強大而吸引人的原因之一是可以連上網際網路，而這將帶來風險。網路上充斥著惡意程式感染與資料外洩的風險。既然 Pi 是可儲存與載入資料的硬體，因此自然需要受到保護。

由於這台多用途微電腦當中使用了許多手機上的技術，因此，其防護措施做起來也不算全然陌生。光是將您 Pi 上的作業系統安全功能全都打開或許還不足夠。就像桌上型電腦與行動裝置一樣，切記避免從可疑來源下載 App 程式到 Pi 上，因為這很可能導致資料遭到竊取。由於 Pi 可輕鬆連接各種裝置與網路，因此這些全都應該採用最新的安全防護方案。

◎原文來源:https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/raspberry-pi-has-its-potentials-and-perils