物聯網（IoT） - 資安趨勢部落格

物聯網（IoT）第一課：如何解釋一切智慧化，穿戴式技術和物聯網

2015 年 02 月 16 日2016 年 01 月 26 日趨勢科技 TrendMicro

到了2025 年物聯網（IoT，包括穿戴式技術）的進步是如此迅速，以至於沒有人會注意到運動手錶內建了健身或追蹤功能。當然的，因為到那個時候它們已經無所不在。有人曾經預言過，連網設備的數量到2020年會成長到500億。

[延伸閱讀：2020年的萬物聯網（IoE）會變成如何]

物聯網（IoT）又包在格局更大的物聯網（IoT ,Internet of Things）內，IoT還包括了人，所以看來每個人都得去熟悉它。許多智慧住家科技紛紛地出籠，你四周的人都會想更加瞭解物聯網（IoT）。以下是讓你可以輕鬆地加以解釋而不會失去理智和耐心的作法：

第一步、用一張影像開始

想像一個有著多條道路相交的路口。簡單來說，物聯網（IoT ,Internet of Things）基本上是人、流程、資料和裝置的交匯。它是個繁忙的十字路口，代表這四種元素的車輛在不同路徑移動著而不會相互碰撞。

第二步、慢慢的進入定義

物聯網（IoT ,Internet of Things）是透過網路來連接人、流程、資料和裝置的概念。有了網路的幫助，這四個元素可以輕易地被設定來根據給定狀況加以回應和動作。

目的是設計來改善都市、工業和人們今天的生活，物聯網（IoT）分配數位識別碼給日常物件，像穿戴式設備和家電，提供使用者新的方式來進行連結、互動和分享。物聯網（IoT）也有可能會成為跨越城市和工業大型關鍵基礎設施背後的驅動力。繼續閱讀

汽車的安全性：聯網汽車快速上路(談BMW的ConnectedDrive系統安全性漏洞事件)

2015 年 02 月 05 日2016 年 01 月 25 日趨勢科技 TrendMicro

你可能對汽車作業系統漏洞感到很陌生。但這將會是我們要去習慣的事情。

在2014年的1月30日，BMW的ConnectedDrive系統出現數個安全性漏洞，讓小偷可以利用行動設備來打開車門和追蹤汽車數據，可以經由行動電話網路來影響傳輸路徑的安全性漏洞被揭露。這是在德國汽車俱樂部ADAC進行秘密評估時發現，被認為會影響全球220萬台BMW汽車。

根據ADAC的聲明，出現漏洞的車輛可能有數個功能會被濫用，像是遠端服務功能（遠端開鎖），透過即時交通資訊（RTTI）來追踪車輛目前的位置和車速，啟用和變更緊急呼叫功能的電話號碼，透過BMW ConnectedDrive商店內的BMW線上功能來閱讀電子郵件。

BMW迅速地回應此一發現，釋出了更新以解決這些問題。根據他們的新聞稿，一旦車輛連到BMW集團伺服器就會自動進行這項更新，也可以手動進行更新。聲明指出，他們所發表且會被自動更新的修補程式可以加強他們車輛的資料傳輸安全性，包括透過HTTPS來加密來自車輛的資料。關於實際的安全漏洞和修補程序等細節尚未被公佈。

（理論上）駭入聯網車輛？

我們在尚未知道漏洞實際如何被攻擊的細節前先不要做出結論。但BMW ConnectedDrive的安全性漏洞問題帶出幾個疑慮：

多久會自動連接BMW伺服器一次？
HTTPS不是在從2010年就開始使用嗎？為什麼不將其用在透過ConnectedDrive（GSM）所發送的資料？什麼樣的資料可以透過自有GSM基地台而被攻擊者所竊取？
HTTPS是指SSLv3或0/1.1/1.2？這是否代表之前的BMW集團伺服器沒有檢查？有可能讓惡意的「韌體」更新進入BMW汽車嗎？
如果更新是在背景執行，車主如何得知漏洞已經被修復？這是否代表車主無法掌控BMW系統所進行的更新？

找到這些問題的答案肯定有助於得知漏洞的嚴重程度。繼續閱讀

< IoT 物聯網>關於智慧型手錶所要想到的事

2015 年 02 月 03 日2019 年 07 月 12 日趨勢科技 TrendMicro

看起來迪克崔西的時代終於要來臨。

在近幾十年，迪克崔西的手錶一直是現代科技的聖杯。它的首次亮相是在1946年的漫畫，作為迪克崔西和其他警員互相溝通的裝置，到了1964年，已經升級成具備視訊功能。從很多角度來看，這簡單的設備幾十年來都為個人化技術的未來發展點出了方向。

隨著個人電腦的運算能力增加及尺寸縮小，現在問題是「迪克崔西手錶還要多久」。

隨著智慧型手機出現以及現在發展中的物聯網（IoT ,Internet of Things）及物聯網（IoT/E），現在迪克崔西手錶已經不再只是個空想，而已經成為現實。

在過去的一年，Apple和三星都推出了所謂的「智慧型手錶」。讓你可以戴在手上並且分別與iPhone或Android手機整合，雖然在本文撰寫時，這些設備都還沒有視訊功能。

雖然第一代智慧型手錶沒有迪克崔西手錶的視訊功能，它們卻提供了大量當時沒人能夠想像得到的能力。尤其是這些第一代智慧型手錶透過其隨時戴在使用者手上的特性加上地理定位服務，可以用來作為健康和健身追蹤器。它們也支援自訂應用程式，進一步利用手錶會戴在使用者手上這一點。例如，Apple將Apple Pay電子錢包功能包含在其設備中。

對於這項極為強大的技術，每個人心中都該想到的是，這些設備以及存放其收集個人資料的雲端有哪些防護。隨著科技越來越貼近我們，能夠收集到的資料數量和種類也大幅增加。在十年前，有某個可以連接網路的東西能夠評估我們的睡眠狀態和紀錄我們所走的每一步（還可以準確地定位這些步伐在地圖上）是件難以想像的事情。但今天它並非只是種可能，而已經成為現實。但重要的是要保持一定程度的懷疑和務實想法。因為資料一旦被收集就無法取消。資料一旦遺失也無法真正被回復。

＠原文出處：CES: Things to think about with Smartwatches作者：Christopher Budd

2015年國際消費電子展（CES）出現智慧汽車展區，代表什麼?

2015 年 01 月 20 日2016 年 01 月 25 日趨勢科技 TrendMicro

國際消費電子展（CES）往往是展示全新突破性消費性技術的舞台。在這裡出現過最早的錄影機和攝影機，OLED面板和高畫質電視也都在這發表。正因如此，2015年的這一場看到汽車產業出現，甚至有個專門的智慧汽車展區也就毫不奇怪了。

大多數的討論會集中在汽車產業如何更好地保護路上日益增加的聯網車輛。自動駕駛汽車已經成為了現實，我們現在需要開始思考，如何在有人受傷前對這物聯網的高風險區提供更好的保護。

美麗新世界

在過去的12個月以來，我們看到了汽車科技在加速。Google日前才宣佈，現在就已經完成了其「完全自動駕駛的首度完整原型」，預計會在新的一年在加州開始測試。雖然該技術似乎對大多數人來說還有點遠，但事實是，多年來汽車廠商都在悄悄地在我們的車內打造更加先進的運算系統。

今日的汽車上有數台電腦是相當常見的，控制了從音樂到防鎖死刹車系統的一切。更重要的是，當物聯網延伸到汽車產業，你會發現現代汽車內置的感應器收集和傳輸大量關於燃料和排放水準、引擎溫度、胎壓、節氣閥位置及其他更多的資料。都是為了讓駕車體驗更加安全、更環保及更令人愉悅。

當汽車更加聯網後，它的可能性似乎變得更加無窮盡。

一場危險的遊戲

但這些可能性也帶來新的危險。正如個人電腦和行動裝置有被駭客遠端攻擊的危險，車載系統也是，只是這次的賭注還更高。在最壞的情況下，駭客可以遠端控制你的車輛甚或是鎖住刹車。繼續閱讀

< IoT 物聯網新趨勢 >飛機、火車與汽車 – 有哪裡可以逃過PoS惡意軟體的威脅？

2014 年 12 月 22 日2016 年 01 月 25 日趨勢科技 TrendMicro

我最喜歡的電影之一是80年代由Steve Martin主演的喜劇 – 「飛機、火車與汽車」。這篇文章跟那部電影無關，不過的確借用了它的標題。

PoS惡意軟體，目前的主流

我們都應該記得，大約在去年的這個時候，美國零售商Target發生了有史以來最大的資料外洩事件，一起使用BlackPOS惡意軟體的針對性攻擊。自從那時開始，銷售終端或稱PoS惡意軟體開始成為主流，攻擊了大大小小的店家。2014也是我們看到PoS惡意軟體變為成熟威脅的一年。新PoS威脅出現在今年的假日購物季節，我們甚至想辦法去了解一下PoS詐騙者的工具箱。

PoS惡意軟體大多數侷限於零售業者和商家，但現在看來，PoS惡意軟體已經從購物中心分支到機場、地鐵站和停車場。

飛機

來自資安公司Census的研究人員在八月的DEFCON2014提出一篇關於PoS攻擊將目標放在旅客的有趣報告。Census延伸了PoS在機場內的定義去包含了自助報到機、無線上網服務機、行李定位服務機等。他們在希臘機場內進行調查。目標放在位於航站公共空間內的自助服務機。這個自助服務機可以讓乘客購買無線上網點數，打VoIP電話以及掃描機票以確認航班時間。他們發現該自助服務機有網路連線，外露USB孔、缺乏鍵盤輸入過濾功能、沒有安裝防毒軟體並具備管理者權限。

研究人員客製化了惡意軟體，並用一個簡單的網頁攻擊來感染自助服務機。航空公司在機票上使用登機證條碼化（BCBP），包含了乘客資訊；BCBP規格可以輕易地在Google上搜尋到。被掃描的BCBP資料 – 不管是印出的機票或是手機上的QR碼 – 都可以在自助服務機的記憶體中解出。知道BCBP格式讓研究人員可以從自助服務機的記憶體擷取資料，只要使用跟竊取支付卡資料的PoS記憶體擷取程式一樣的技術即可。他們的實驗結果顯示，攻擊者可以輕易地利用支付卡竊取PoS惡意軟體來感染自助服務機。

火車

資安公司IntelCrawler最近在部落格發表一篇關於「d4re|dev1|」（daredevil）PoS惡意軟體的文章，它會針對大眾運輸系統（MTS）。這個惡意軟體具備遠端管理、遠端更新、記憶體擷取和鍵盤記錄功能。IntelCrawler秀出義大利薩丁島一個被入侵ARST自動售票機的照片。攻擊者透過VNC來存取自動售票機。客戶在這些自動售票機購買公車票和火車票，讓他們成為被竊取支付卡資料的賺錢目標。一個最近發現的PoS記憶體擷取程式家族 – NewPosThings會試圖從被入侵系統取得VNC密碼。其他像是BrutPOS和Backoff等PoS記憶體擷取程式會使用RDP來存取被入侵的系統。繼續閱讀