物联网中的五大威胁介绍

今天就来看看对物联网（IoT）前五名分别是哪些威胁吧！

第5名：使用不安全或过时的组件

使用已停止维护或不安全的软件组件/函式库，导致设备可能被入侵。这亦包含了不安全的客制化操作系统，以及使用来自供应链中已被入侵的厂商所提供的第三方软硬件组件。

第4名：缺乏安全更新机制

缺乏安全进行设备更新的能力，这包含了缺乏设备韧体的验证、缺乏数据传输时之加密、缺乏防版本回刷机制，及缺乏因应更新而导致之安全性改变之通知。

第3名：不安全的操作系统接口

可用于操控IoT设备的不安全的网页、后端API、云端或智能型手机接口，导致设备可能遭入侵并影响相关组件。常见的问题包括缺乏身份验证机制、缺乏加密机制，或是加密机制很弱，以及缺乏输出入信息的过滤。

第2名：不安全的网络服务

设备上运行有非必要或是不安全的网络服务，特别是那些可以直接由因特网存取的设备，并造成信息之保密性、一致性及可用性受影响，并导致允许未经授权的远程访问。

第1名：弱密码、容易被猜到的密码及写死的密码

使用容易就能被暴力破解的密码、能够公开取得的密码、或是没有改变过的默认密码，例如韧体中藏有之后门，以及透过客户端的软件提权并进到布建的系统内部等。

补充一下，大部分的IoT殭尸网络都是透过这个威胁取得目标设备的访问权限，并透过该设备进行下一步的对外攻击。

建议各位在建置或管理IoT时应该要确认一下，是不是有刚好踩到这些雷，以免造成设备遭入侵或数据外泄导致损失喔！