標籤: IOT

消費者採購家用智慧型裝置時應注意的安全考量
在家庭智慧化一文中，我們討論了未來可能影響全球家用智慧型裝置普及化的因素。隨著居家環境越來越智慧化，新的安全挑戰也逐漸形成。過去一年，我們看到針對家用智慧型裝置，如嬰兒監視攝影機、電視、無線交換器、電燈等等的攻擊不斷持續增加。

有鑑於我們對智慧型裝置的多年研究，我們覺得有必要為考慮採購家用智慧型裝置的消費者提供一些安全原則。

消費者應熟悉我們以下討論的幾項選購條件，此外，我們也認為智慧型裝置製造商應該更注重裝置的預設安全性。

延伸閱讀：看看萬物聯網 (Internet of Everything) 如何讓生活更便利

1. 範圍
2. 選購條件
3. 使用者名稱和密碼的考量
4. 更新方便性
5. 加密
6. 開放的連接埠
7. 電力需求
8. 漏洞
9. 結論

本文將針對目前及未來短期之內消費者可能採購的家用智慧型裝置探討其安全原則與選購條件。此外，我們主要探討美國境內所能買到的智慧型裝置。

請注意，這些安全原則只是智慧型裝置採購時所應考慮的其中一環，除此之外，消費者還應該考量居家裝置管理員 (Administrator of Things，或簡稱 AoT) 每天或每週花在裝置安全及確保裝置正常運作所需的時間和精力，其中包括更新韌體、找出故障裝置、重新連線和連接裝置、更換電池、檢查連線、診斷技術問題、重新設定存取權限、更新裝置控制 App 程式等等，這些工作並非一般人所能勝任。

本文的「智慧型裝置」一詞涵蓋範圍如下：

• 傳統資訊安全領域以外的消費型裝置，因此本文不會討論 PC、平板或智慧型手機。
• 具備充分運算能力可獨立彈性運作、且運作時可直接或間接連上網際網路的裝置。
• 主要用於居家環境，而非穿戴式裝置或智慧型汽車之類非以家用為主的裝置。家用智慧型裝置的範例包括：家電 (如智慧型洗碗機、智慧型冰箱)、視聽設備 (如智慧型電視、影音接收器、電玩遊戲主機、智慧型喇叭)、保全與管理裝置 (如智慧型集線器、感應器)、能源計量表等等。

以下是身為消費者的您在選購家用智慧型裝置時所應考量的安全條件。

選購條件

使用者名稱和密碼的考量

問：智慧型裝置是否具備安全認證功能？
例如，智慧型裝置是否需要輸入使用者名稱和密碼才能存取？許多智慧型裝置完全不具備安全認證功能。設計良好的智慧型裝置應具備某種認證功能來讓擁有者管制存取權限。

有些智慧型裝置製造商的產品不具備任何認證功能，而是靠其他方法來管制存取權限。某些廠商甚至假設您的家用 Wi-Fi 網路應提供這方面的功能。不幸的是，這讓智慧型裝置非常容易遭到攻擊，因為，任何能夠連上您家用 Wi-Fi 網路的人都能輕易攔截、監聽或攻擊這些裝置。

問：智慧型裝置在首次安裝時是否會要求您變更使用者名稱和密碼？
設計良好的智慧型裝置在第一次安裝時會要求您修改預設的登入帳號和密碼。修改預設的帳號和密碼可防止駭客利用公開的預設使用者名稱和密碼來登入您的裝置。

當家用智慧型裝置首次安裝時，您通常需要將它連上網際網路來確認它是否正常運作，包括檢查其主要功能和管理功能，例如更新韌體。不幸的是，當裝置第一次安裝時 (或者是裝置重設時)，裝置預設的密碼通常都很簡單。智慧型裝置常見的預設使用者名稱是「admin」，而預設密碼通常為空白，有時密碼會和使用者名稱相同。

延伸閱讀：密碼安全性：如何強化密碼來提升安全性

Shodan 搜尋引擎是一個今日連網智慧型裝置的超大型目錄，從它就能看出預設密碼的威脅有多大。透過這個搜尋引擎來搜尋您連線的裝置，就能迅速了解此普遍存在問題。就在去年，一家名為 Foscam 的 IP 攝影機製造商發現其裝置的預設帳號密碼讓客戶暴露在潛在的網路監聽威脅當中，從那時起，至今已發生多起利用該漏洞的知名監聽事件。雖然 Foscam 宣稱已修復此問題，但其最大挑戰在於讓所有客戶都套用修補程式。目前仍有許多其他裝置製造商仍在使用預設的帳號密碼。

一旦裝置完成首次部署並上線運作之後，除非發生技術性問題，否則裝置可能很長一段時間之內都不會再重新設定。因此，預設的帳號密碼，加上首次設定時未強迫使用者變更密碼，您可想像這些裝置的安全性有多麼堪慮，這正是為何在首次部署時即修改帳號密碼非常重要。

若要了解您考慮購買的裝置是否存在這方面的問題，您可試試下列步驟：

1. 留意一下您打算購買的裝置預設帳號密碼，查詢一些專門提供智慧型裝置預設使用者名稱和密碼的網站，例如：IPVM就是一個專門提供 IP 攝影機預設帳號和密碼的網站。
2. 前往裝置製造商的官方網站，查看其裝置使用說明書即可知道裝置的預設使用者名稱和密碼。
3. 在 Google 上搜尋「default password for 裝置 品牌 型號」或者「password reset 裝置 品牌 型號」。

 

問：我的密碼強度如何？
確定您的密碼無法輕易猜出。好的密碼應該使用複雜的字母、數字、標點及符號的組合。其長度至少要 8 個字元，而且應同時包含大寫和小寫字母。此外，也要避免重複使用同一密碼，或者在不同裝置上使用相同的密碼。

更新方便性

問：智慧型裝置更新方便性如何？
裝置會自動更新嗎？您的裝置會通知您應該更新嗎？更新裝置會很複雜嗎？裝置更新可以讓智慧型裝置運作起來順暢又安全，但接收更新的方式可能是一項挑戰。在今日，裝置更新既是廠商的責任、也是消費者的責任。您必須考量更新的程序對您的影響，包括更新的複雜性以及所需的時間。

當廠商在生產智慧型裝置時，他們通常會在裝置中內建韌體更新功能，所謂的「韌體」就是讓裝置運作的作業系統和資料。

傳統上，大多數智慧型裝置的設計都是靠消費者手動更新或修補裝置。然而，對一般人來說，光是要記住如何在網路上找到某個智慧型裝置、如何使用瀏覽器和主機位址，或者如何使用更新功能本身，都可能是一項極大挑戰。所以一般的情況是，智慧型裝置在初次安裝之後，其韌體好長一段時間都不會更新。因為，真的是太不方便了。

不但如此，就算裝置在初次安裝時便已更新到最新狀態，廠商還是可能會再釋出裝置更新，但卻不會通知消費者。導致使用者的裝置過期而未更新。

想像一下，未來家用智慧型裝置很快將成為一種常態，到時候隨時保持裝置的更新將更加重要。身為消費者，您該想想是否要每天自行手動更新家中的每一台裝置。這是個難題，甚至可能成為未來影響居家安全最大的網路安全風險。

智慧型裝置廠商可透過下列方法來減輕裝置管理的問題： 繼續閱讀

明日的連網自動化家庭時代已經來臨，遲早，數以百萬計的家庭都將習慣這樣的生活方式。

未來不久，人們一回到家就會聽到門口監視攝影機作動的聲音，隨時監視著門口的狀況。很快地，智慧型門鎖與動作感應裝置就會成為家庭保全的標準配備。智慧型電視將讓您輕鬆錄製節目或拍攝照片，並直接上傳至網際網路。智慧型冰箱可幫助一些注重養生的人們控制飲食，甚至幫忙訂購需要補充的日用品。

雖然連網的家庭與家電將帶來輕鬆和便利，但卻也製造了各式各樣的網路犯罪機會，因為歹徒總是會往「錢」和「人」最多的地方聚集。

連網自動化裝置數量不斷增加，對於目前最夯的萬物聯網概念固然是件好事，但安全漏洞的數量也會隨之增加，這樣的情況已經發生在桌上型電腦與行動裝置。安全的問題可能來自家電本身、來自安全問題修補的程序，或是來自人為的錯誤和安全情況的誤判。

大家務必仔細評估家庭自動化的優、缺點。使用監視攝影機、動作感應器、智慧型門鎖以及其他保全裝置，或許能輕易地增加安全性，但也它們也可能成為駭客用來觀察您是否有人在家的工具。

內建視訊攝影機和麥克風的智慧型電視或許能為使用者提供便利的個人化設定，但也能讓網路犯罪者挾持這些設備而暗中監視使用者。安裝車用電腦或許能讓車主輕鬆地更新一些重要但繁瑣的設定，但也可能引來駭客入侵的風險。就連具備上網購物功能的智慧型冰箱，也可能成為歹徒竊取銀行帳號資訊的途徑。

了解智慧型家庭可能遭到駭客攻擊的各種情境，是您安全地探索及使用明日自動化家庭裝置的關鍵。
◎原文出處：https://about-threats.trendmicro.com/us/threat-intelligence/internet-of-everything/understanding-ioe/high-tech-homes-get-smarter