物聯網（IoT） - 資安趨勢部落格

IoT 物聯網裝置的四個資安風險

2019 年 06 月 24 日2019 年 06 月 10 日趨勢科技 TrendMicro

物聯網（IoT ,Internet of Thing）可說是今日應用最廣泛的技術之一。網際網路的無所不在、網路頻寬的不斷成長、連網裝置的多元化，都讓 IoT 充滿擴充性和多樣性。幾個 IoT 目前已徹底改變的產業包括：食品生產、製造、金融、醫療及能源，尤其是其延伸出來的工業物聯網 (IIoT)。不僅如此，IoT 也催生了智慧家庭、智慧建築、甚至智慧城市。

然而 IoT 的日益普及，也讓我們必須正視其可能帶來的後果。例如，在企業環境中，IoT 通常被歸類為辦公室自動化 (OA) 與營運技術 (OT) 領域。換句話說，企業內早已部署了各式各樣的 IoT 和 IIoT 裝置。在這樣的情況下，一些原本未曾出現網路資安風險的領域將有更多機會遭遇資安威脅。在這些相當普遍的領域當中，IoT 裝置的資料蒐集和監控能力很可能對一些關鍵系統帶來影響，例如企業內網路和資料庫伺服器。結果，即使看似無害的 IoT 裝置，如智慧馬桶和智慧咖啡機，都有可能造成重大衝擊，視其所處的環境而定。
[延伸閱讀： 印表機,心臟輔助裝置，咖啡機可在未經授權下存取連網設備 ]

所以，採用 IoT 很重要的一點就是必須預先知道這項技術可能對其應用環境帶來什麼樣的影響，特別是一些可能讓 IoT 系統和裝置遭到攻擊的資安考量。

IoT 的四個資安風險

IoT 系統及裝置的相關威脅之所以可能衍生更大的資安風險，原因就在於其底層技術的特性。這些特性雖然可以讓 IoT 環境變得更便利、更有效率，但卻很可能被歹徒所利用。

其中包括：

繼續閱讀

汽車防盜警報系統漏洞,讓駭客能夠劫持汽車

2019 年 03 月 20 日2019 年 03 月 19 日趨勢科技 TrendMicro

Pen Test Partners的資安研究人員發現由第三方行動應用程式管理汽車警報的漏洞。據報此漏洞影響到了約300萬輛使用這些智慧物聯網（IoT）裝置的汽車。以下是關於這些漏洞你所需要知道的資訊。

[相關新聞：晶片鑰匙漏洞讓駭客可以打開速霸陸汽車]

這些是什麼漏洞？

這些是管理智慧警報功能的應用程式API內的IDOR漏洞（insecure direct object reference）。當不安全應用程式暴露出對內部元件的數值、資料或引用時就可能發生。例如，IDOR漏洞可以洩漏儲存在應用程式後端的資訊。

在智慧警報案例中，API內的IDOR漏洞無法正確驗證對應用程式的請求。影響智慧警報的漏洞已經披露給受影響的廠商並加以修復。

繼續閱讀

2015年十大資安關鍵字

2015 年 12 月 17 日2016 年 03 月 28 日趨勢科技 TrendMicro

本部落格從 2015年熱門資安新聞相關的十大資安關鍵字,回顧即將過去的這一年發生的資安大事件:

CryptoLocker (加密勒索軟體)

有史上最狠毒勒索軟體 Ransomware (勒索病毒/綁架病毒)之稱,2014年開始入侵臺灣，2015年災情持續蔓延。
前一陣子有位台北市某公司會計人員,誤點免費中獎iPhone 6S的釣魚郵件,導致伺服器上的資料被勒索軟體CryptoLocker加密,結果當事人與主管掉離現職。根據2015年金毒獎票選，「勒索軟體肆虐台灣」公認為今年最驚世駭俗的資安攻擊事件;另一項2015年度資安關鍵字票選活動,第一名也由 CryptoLocker (加密勒索軟體)奪魁,得票數占42.11%。

【相關新聞】
CryptoLocker勒索軟體肆虐可能助長網路銀行惡意程式
 透過可移除媒體散播的新CryptoLocker 勒索軟體
 勒索軟體CryptoLocker,攻擊個案翻兩倍
 勒索軟體 CryptoLocker 跟網銀木馬 ZeuS/ZBOT 聯手出擊
 Chimera 加密勒索軟體威脅 :「要被駭還是一起駭人賺黑心錢 ? 」
真有其事還是虛張聲勢？Chimera 加密勒索軟體/綁架病毒,威脅將您的資料公布在網路上
 加密勒索軟體:用比特幣贖回你的檔案!!

>> 看更多

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制，可預防檔案被勒索軟體惡意加密！即刻免費下載
PoS Malware (端點銷售惡意軟體)

端點銷售（PoS）惡意軟體攻擊呈現巨大的跳躍,全功能PoS 惡意軟體,可回傳信用卡號碼

【相關新聞】
PoS攻擊的演進 – 更加複雜也更具針對性
 IOE攻擊情境, POS 端點銷售惡意軟體 POS, 銷售端點（POS）記憶體惡意軟體
 【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料
 2015年第三季資安威脅總評: 駭客已悄悄將PoS攻擊目標移轉到中小企業 (SMB)
MalumPoS 惡意程式,可針對任何POS系統發動攻擊
 < IoT物聯網 > RawPOS 惡意程式跟你一起在飯店 Check in
全功能PoS 惡意軟體,可回傳信用卡號碼,竊取巴西 22,000筆信用卡資訊
 < IoT 物聯網-PoS 攻擊>付款終端機在交易中如何處理你的信用卡資料?
< IoT 物聯網新趨勢 >飛機、火車與汽車 – 有哪裡可以逃過PoS惡意軟體的威脅？
資料外洩與銷售櫃台系統 (PoS) 記憶體擷取程式爆炸性成長
>>看更多
Pawn Storm (網路間諜行動)

一項持續性網路間諜行動。曾攻擊北大西洋公約(NATO)會員國與美國白宮,亦曾攻擊馬航MH17失事調查委員會

【相關新聞】
Angler和Nuclear漏洞攻擊包整合Pawn Storm的Flash漏洞攻擊碼新的棘手問題：Pawn Storm零時差攻擊如何閃過Java的點擊播放（Click-to-Play）保護俄駭客組織Pawn Storm,攻擊馬航MH17失事調查委員會【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭
 Pawn Storm 網路間諜行動,從政府機關到媒體名人皆在攻擊之列
 Pawn Storm 間諜行動曝光：政治人物,搖滾歌手,藝術家成為攻擊目標
 分析 Pawn Storm 的 Java 零時差漏洞 – 故技重施
 < APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增
 數以百萬計的 iOS 裝置可能遭到 Pawn Storm 間諜軟體攻擊
 第三季資安總評:資料外洩成零時差漏洞攻擊利器,甚至危及人身安全

>> 看更多
XcodeGhost (iOS木馬)

iOS 開發工具染毒,蘋果出現嚴重漏洞,安全神話遭打破

【相關新聞】

【iOS安全】XcodeGhost 災難到底是怎麼來的？(含受影響應用程式清單)
Yispectre惡意程式感染中國和台灣：就算不越獄的 iPhone 也不一定安全
>> 看更多

繼續閱讀

【PoS攻擊】Black Atlas行動,鎖定台灣在內零售商支付卡資料

2015 年 12 月 07 日2016 年 01 月 25 日趨勢科技 TrendMicro

隨著購物季節即將到來，也出現了多起關於信用卡資料外洩危及各行業及其客戶資料的消息。著名的像是希爾頓酒店和其他類似企業資料外洩事件是由端點銷售（PoS）惡意軟體所造成，讓許多人會擔心會有許多實體店面遭受數位威脅。研究人員還發現有大規模攻擊活動利用模組化ModPOS惡意軟體來竊取美國零售商的支付卡資料。

然而就趨勢科技所見，並不僅是美國零售業者面臨資料外洩風險。我們發現一個具備隱匿性,會搜尋網路中PoS系統的傀儡殭屍網路(請參考殭屍網路即時分布圖)。它擴大其攻擊面至全世界的中小型商業網路，包括一間美國的醫療機構。我們將它稱為Black Atlas行動，因為此攻擊行動所主要使用的惡意軟體是BlackPOS。

自2015年九月就可以看到Black Atlas行動出現，正好在購物季節前播下種子。其目標包括醫療保健、零售業及許多依賴卡片交易系統的產業。

這起攻擊行動是由技術相當先進的網路犯罪分子所進行，其非常了解各種滲透測試工具，並且對地下市場內的端點銷售（PoS）惡意軟體有相當廣的關聯。行動操盤手製作了一套就像瑞士刀一樣的工具集，每個工具都提供不同的功能。Black Atlas所用的惡意軟體包括（但不限於）Alina，NewPOSThings，一個Kronos後門程式和BlackPOS等變種。BlackPOS也被稱為Kaptoxa，是2013年Target資料外洩和2014年攻擊多個零售商帳戶所用的惡意軟體。

跟GamaPoS類似，Black Atlas行動採用散彈槍模式來滲透網路，而非尋求特定目標。基本上會檢查網路上可用的端口，看看是否能夠進入，結果就在世界各地找到多個目標。下圖顯示這些目標的所在地,台灣也列入其中：