 |
| 圖片來源:wikimedia |
物聯網在各領域的應用引發大眾對未來無限的想像,但近期資安專家接連揭露物聯網的各項弱點,要讓大家沉浸在未來美好之前先看清現實。HP Fortify在7月底發表一份物聯網研究報告,在其測試的10項連網設備中有7項存在弱點,測試設備包含智慧電視、網路攝影機、車庫鐵門控制器、警報系統等,而相關的弱點則涵蓋隱私問題、認證不當、加密、Web介面及軟體等。
關於隱私問題,HP在報告中提出質疑,這些家用連網設備是否需要蒐集這樣多的個資才能正常運作?同時也譴責這些設備製造商沒有做密碼強度的要求,密碼設為"1234"竟然都可以接受。HP呼籲製造商應該使用OWASP Internet of Things Top 10做為安全檢測基準。
而上周在美國Las Vegas舉行的2014 BlackHat黑帽大會,物聯網也成為許多資安專家研究的焦點。從NEST恆溫器、心律調節器韌體更新到訊息傳遞通道等,研究人員無所不駭。Accuvant Labs研究人員示範電信業者在所銷售的手機中都會安裝的遠端控制軟體的弱點,透過研究人員的PoC程式,可遠端破解上鎖的手機螢幕、遠端執行程式、越獄。該軟體是電信業者基於開放行動聯盟裝置管理(OMA-DM)協定所導入的軟體,OMA-DM讓電信業者可用來遠端管理手機、平板電腦、筆電、M2M等連網裝置,在使用者不知情的情況下。尤其在此類電信業者所使用的遠端裝置管理軟體市場,全球約有7~9成是使用Red Bend公司所開發的軟體。Red
Bend在6月取得研究報告時已修復此一漏洞。
沒有留言:
張貼留言