如何注重物联网安全?守好物联网这3个薄弱攻击点!

物联网的使用已经逐渐广泛起来，在我们的家中可能就有物联网设备，比如智能猫眼等。为增进大家对物联网的认识，本文将对物联网和物联网的几个薄弱攻击点予以介绍。如果你对物联网、物联网安全具有兴趣，不妨继续往下阅读哦。

一、物联网

物联网概念的问世，打破了之前的传统思维。过去的思路一直是将物理基础设施和IT基础设施分开，一方面是机场、公路、建筑物，另一方面是数据中心，个人电脑、宽带等。而在物联网时代,钢筋混凝土、电缆将与芯片、宽带整合为统一的基础设施，在此意义上，基础设施更像是一块新的地球。故也有业内人士认为物联网与智能电网均是智慧地球的有机构成部分。

不过，也有观点认为，物联网迅速普及的可能性有多大，尚难以轻言判定。毕竟RFID早已为市场所熟知，但新大陆等拥有RFID业务的相关上市公司定期报告显示出业绩的高成长性尚未显现出来，所以，对物联网的普及速度存在着较大的分歧。但可以肯定的是，在国家大力推动工业化与信息化两化融合的大背景下，物联网会是工业乃至更多行业信息化过程中，一个比较现实的突破口。而且，RFID技术在多个领域多个行业所进行的一些闭环应用。在这些先行的成功案例中，物品的信息已经被自动采集并上网，管理效率大幅提升，有些物联网的梦想已经部分的实现了。所以，物联网的雏形就象互联网早期的形态局域网一样，虽然发挥的作用有限，但昭示着的远大前景已经不容质疑。

二、物联网攻击手段

攻击面1：管理缺陷

管理缺陷导致的问题是安全的最大和最不可防范的问题。虽然是反映在技术上，比如弱口令、比如调试接口、比如设备LOG信息泄露等等但无一例外都是安全开发管理缺陷导致。

比如，产品设计的时候就没有考虑到授权认证或者对某些路径进行权限管理，任何人都可以最高的系统权限获得设备控制权。

比如，开发人员为了方便调试，可能会将一些特定账户的认证硬编码到代码中，出厂后这些账户并没有去除。攻击者只要获得这些硬编码信息，即可获得设备的控制权。

比如，开发人员在最初设计的用户认证算法或实现过程中存在缺陷，例如某摄像头存在不需要权限设置session的URL路径，攻击者只需要将其中的Username字段设置为admin，然后进入登陆认证页面，发现系统不需要认证，直接为admin权限。

应对措施：信息网络安全需要在产品的各个流程中进行，包括公司管理流程，在设备上市前进行专业的产品安全测试，降低物联网设备安全风险。

攻击面2：通讯方式

通讯接口允许设备与传感器网络、云端后台和移动设备APP等设备进行网络通信，其攻击面可能为底层通信实现的固件或驱动程序代码。

比如，中间人攻击一般有旁路和串接两种模式，攻击者处于通讯两端的链路中间，充当数据交换角色，攻击者可以通过中间人的方式获得用户认证信息以及设备控制信息，之后利用重放方式或者无线中继方式获得设备的控制权。例如通过中间人攻击解密HTTPS数据，可以获得很多敏感的信息。

比如，无线网络通信接口存在一些已知的安全问题，从攻击角度看，可对无线芯片形成攻击乃至物理破坏、DOS、安全验证绕过或代码执行等。

比如，以太网设备接口如wifi接口等都存在一些底层TCP/IP通信漏洞、硬件实现漏洞和其它攻击向量。

比如，无线通信Bluetooth (and BLE)、ZigBee、Zwave、NFC、RFID、LoRA、Wireless HART，等等。

应对措施：物联网终端设备种类繁多，具体应用场景丰富，通信方法多种多样，而且在不断变化过程中，这是物联网安全最薄弱和最难以克服的问题。可以内置安全机制，增加漏洞利用难度，厂商可以通过增量补丁方式向用户推送更新，用户需要及时进行固件更新。

攻击面3：云端攻击

近年来，物联网设备逐步实现通过云端的方式进行管理，攻击者可以通过挖掘云提供商漏洞、手机终端APP上的漏洞以及分析设备和云端的通信数据，伪造数据进行重放攻击获取设备控制权。

应对措施：建议部署厂商提供的整体安全解决方案。比如目前的IFAA技术方案如果应用在物联网上可以进行安全的身份认证，同时保护数据安全。再比如阿里主导下的ICA联盟在这方面也作出了一些有益的工作。

以上便是此次小编带来的物联网相关内容，通过本文，希望大家对物联网已经具备一定的了解。如果你喜欢本文，不妨持续关注我们网站哦，小编将于后期带来更多精彩内容。最后，十分感谢大家的阅读，have a nice day!