歡迎來到物聯網(IoT)時代,物聯網將逐漸成爲每人生活的必須品,每人都會帶備超過一個以上的IoT裝置如手機、遊戲機、 智能手錶和手環等。這些IoT裝置都具有傳感器,從周圍環境收集及處理資料,並傳送到遠程位置做進一步分析。現時估計IoT裝置共有150億個,大約每人有兩個連接的IoT, 預計到2020年總數會增長至260億個。
隨著智慧家電及IoT應用興起,裝置軟件及硬件都百花齊放,很多時製造商都先照顧市場需求的先進功能,而在保障資訊和私隱安全往往未成熟,一般用戶也就很易成為駭客下手的目標。HKCERT 就已發布名為「Reaper」或「IoTroop」的物聯網殭屍網絡研究,據悉殭屍網絡或已控制過百萬部IoT裝置,可被利用作DDOS攻擊,導致大規模互聯網服務中斷。當IoT裝置應用在人身上,例如無人駕駛車和醫療用品上,IoT裝置的漏洞,更有機會危害人身安全。
IoT裝置常見的安全漏洞範圍,包括:
晶片或硬件漏洞:在製造過程中,由於要進行質量保證,測試點和端口會被添加到設備中,以確保其功能在發貨前可通過周詳測試;卻因此留下了開放的測試點和編程或電路板上的端口,為駭客提供了物理途徑,可探查設備並測試其漏洞。例如有駭客利用XBOX 360內的端口,去探試保安降級的方法。
啓動操作系統引致的安全漏洞:駭客會利用IoT裝置操作系統啟動過程中的漏洞,來進行攻擊。由於啟動時保護機制有限,許多進階保護機制,還未發揮其功能,造成駭客有機可乘。例如,iPhone操作系統啓動的弱點,就曾被利用作越獄的方法。系統啟動過程中的保安措施,必須經過周詳的審計以確保不會被駭客攻破。
軟件漏洞:IoT裝置軟件很多時需要用加密方法,去進行認證或保護敏感資訊,此舉可有效提升IoT裝置的安全性,增加被駭的難度。但我們發硯很多時,軟件設計未經深思,遺下弱點或安全破綻,例如使用了公認的弱密碼,或已被破解的加密標準。例如Sony PlayStation 3由於一系列密碼漏洞,而被降低安全性。
遠程遙控漏洞:IoT裝置通常都設有遠程遙控通道,用以收集數據或監控。這些遠程通道是非常有用的,但有些卻在實踐和開發過程中遺下安全漏洞,例如製造商可能會允許任意執行API指令,通過這個攻擊媒介,駭客可遠程控制IoT裝置,並進行攻擊。
儘管製造商都意識到私隱和安全隱患,但為照顧市場需求,往往忽略了,或發生事故後才補救。因此,市場上通常採用軟件級解決方案,去改善IoT裝置的私隱和安全性問題。
隨著智慧家電及物聯網應用興起,一般用戶也成為駭客下手的目標。美國聯邦調查局呼籲用家,連網攝影機、遊戲機及智慧喇叭等用家裝置,切記別和電腦設於同一Wi-Fi網路,因為駭客會透過駭入上述IoT裝置,入侵Wi-Fi網路,再經由家用路由器,擴散到各個連網裝置,包括儲存私隱資訊和密碼的電腦。
用家應變更所有IoT裝置的預設密碼,密碼不要共用而且愈長愈好,並檢查IoT裝置搭配的App的資訊收集設定,關閉不必要的存取權限。此外,用戶也應啟動IoT裝置的自動更新,確保升級到最新版本軟體。
撰文:香港電腦學會網絡安全專家小組執行委員會成員黃永昌