之前看完了第10名到第6名的选手,今天就来看看对物联网(IoT)前五名分别是哪些威胁吧!
第5名:使用不安全或过时的组件
使用已停止维护或不安全的软件组件/函式库,导致设备可能被入侵。这亦包含了不安全的客制化操作系统,以及使用来自供应链中已被入侵的厂商所提供的第三方软硬件组件。
第4名:缺乏安全更新机制
缺乏安全进行设备更新的能力,这包含了缺乏设备韧体的验证、缺乏数据传输时之加密、缺乏防版本回刷机制,及缺乏因应更新而导致之安全性改变之通知。
第3名:不安全的操作系统接口
可用于操控IoT设备的不安全的网页、后端API、云端或智能型手机接口,导致设备可能遭入侵并影响相关组件。常见的问题包括缺乏身份验证机制、缺乏加密机制,或是加密机制很弱,以及缺乏输出入信息的过滤。
第2名:不安全的网络服务
设备上运行有非必要或是不安全的网络服务,特别是那些可以直接由因特网存取的设备,并造成信息之保密性、一致性及可用性受影响,并导致允许未经授权的远程访问。
第1名:弱密码、容易被猜到的密码及写死的密码
使用容易就能被暴力破解的密码、能够公开取得的密码、或是没有改变过的默认密码,例如韧体中藏有之后门,以及透过客户端的软件提权并进到布建的系统内部等。
补充一下,大部分的IoT殭尸网络都是透过这个威胁取得目标设备的访问权限,并透过该设备进行下一步的对外攻击。
以上就是由OWASP所发展出IoT的前10大威胁清单,也建议各位在建置或管理IoT时应该要确认一下,是不是有刚好踩到这些雷,以免造成设备遭入侵或数据外泄导致损失喔!
