物联网漏洞不断成黑客攻击目标

 过去谈到信息安全事件，多数人心中浮起的第一个想法，大概都是某个企业单位或政府机关遭到黑客入侵，但是随着全球可连网设备暴增，信息安全事件早非商业组织专属，一般消费者也早陷入个人资料被窃的恐慌中。如2014年底便曾爆发黑客组织大量窃取道路监控设备的中影片，并且通过架设网站方式散播，英国信息委员会办公室当时预估外流影片数量，可能达到7万则以上，凸显出在物联网蓬勃发展的背后，正隐藏着容易被人忽略的安全危机。

早在2014年月，惠普科技便曾发表一份针对物联网安全问题的研究报告，文中指出每个连网设备平均约有25个信息安全漏洞，而最大问题在于未加密通信传输与身份认证不足，以致于造成使用者个人资料容易泄漏。美国联邦贸易委员会亦在2015年1月发表物联网安全建议报告，指出可上网智能设备因隐私和安全设计上的缺陷，让黑客能在入侵物联网后，转而攻击其它更具商业价值的系统。

Google Play平台不够严谨 恶意App 200万以上

过去黑客组织攻击商业组织是为获取经济利益，袭击政府机构则是要达成特定政治目的，转而攻击消费者生活息息相关的物联网，除想要造成民众恐慌之外，更是看准全球可连网设备在2015年已达50亿个，一旦突破物联网防御机制，能为日后发动大规模攻击作准备，以便能够取得更庞大利润。现今物联网架构存在许多难以解决的漏洞，首先是可连网设备多半采用Linux、iOS、Android等行动操作系统，因与个人计算机的Windows平台不同，在无法沿用既有相同信息安全软件的前提下，自然很难防堵客组织发动的新型态攻击手法。

其次，可连网设备运算能力并不高，特别是部分用于智能电网、环境监测领域之中的设备，仅能提供极为简单的应用服务。在此状况下，根本不可能安装任何防御软件，顶多只能仰赖芯片本身内建的加密机制，保护重要数据的安全，一旦厂商没有修改产品默认的密码，便很容易被黑客组织攻破。以黑客组织入侵全球网络摄影机为例，信息安全顾问介入调查后发现，受害消费者多数都是沿用系统默认密码，如1234、password等等，才会让黑客不费吹灰之力，即可轻松取得各种数据与影像。

最后一项问题，则因Google Play平台采取开放政策，在欠缺完整功能审核与测试机制下，黑客组织可以上传内建恶意软件的山寨或恶意App，当消费者不小心下载并使用后，便能够在消费者无法察觉到任何异状下，私下开始将个人资料传送到恶意中继站，同时悄悄取得手机的控制权。如英国BBC网站在2016年初遭到600Gb流量的DDoS攻击，技术顾问以数字鉴识技术进行分析后发现，许多攻击流量居然源自于移动或手持设备，证明许多设备早被黑客组织控制。

事实上，根据各家信息安全公司公布的研究报告显示，市面上针对移动设备设计的恶意软件数量，光是在为Android平台上的病毒数量已突破达200万种以上，即便是被视为较安全的iOS平台，近来也有陆续爆发被黑客入侵，为物联网日后发展带来不少隐忧。

三大组件相互认证 才能减少入侵行为

商机可望达到兆亿美元以上的物联网，是由终端设备、应用软件、云端平台所组成的架构，依照各厂商设计的不同软件功能，能有智慧城市、智能家居、车联网、智能医疗、智能电网、能源管理等应用。因此，企业若要保护应用服务的安全，避免自家服务被黑客组织入侵，势必得从前述三大面向着手，才能降低信息安全事件发生的机率。

AWS亚太地区首席技术讲师Markku Lepisto认为，可连网设备受限于效能上的限制，几乎不可能预安装防毒或入侵检测软件，才会成为黑客组织欲大力攻击的目标。而若要减少信息安全事件发生，业者自行开发的应用软件需具备监测设备安全与否的能力，在确认设备没有被黑客入侵后，才依照用户的身份等级，给予相对应的访问权限。至于云端平台本身，则需具备阻挡黑客攻击的能力，如APT、DDoS等等，才能达到保护用户数据安全的目标。

根据趋势科技进行的研究调查报告县市，尽管黑客组织推陈出新的攻击手法，确实难以通过单一信息安全设备阻挡，但造成信息安全事件不断发生的主因，在于没有定期安装修补程序。所以行动设备制造商让提高行动设备的防护能力，应该要随时关注CVE(Common Vulnerabilities & Exposures)组织发布软件漏洞信息，通过定时更新设备的软件版本，积极修复各种软件漏洞的方式，自然能减少攻击事件发生。

此外，考虑到消费者没有修改默认密码，又或者密码设定过于简单，亦是造成数据外泄的主要原因，厂商不妨在可连网设备中，能够加入提醒修改密码功能，以及可设定高强度密码的机制，也能减少因人为疏忽造成信息安全事件的机率。而增加数据加密传输的选项，同样可增加黑客取得数据的难度，能有效保护商业机密的安全。

善用原码检测服务 可降低软件漏洞风险

长期观察App信息安全问题的果核数字营运长许武先指出，Google Play平台上恶意App泛滥主因，在于Android系统选择Java作为开发语言，在软件完成开发后，并不会直接将原始码编译成的机械码，以致于存在易被反编译的弱点。换句话说，黑客能够通过逆向工程取得原始码的方式，找出应用程序的漏洞或弱点，再将该App植入恶意软件之后，重新放上Google Play平台，诱骗消费者在不知情下载安装。当然，黑客组织亦可直接采取攻破云端主机的模式，直接窃取平台上的个人资料或商业机密。

根据果核数字的非正式统计，在Google play平台上的前100大热门游戏中，约有90个App皆有可被反编译取得原始码的弱点。另外，多数App设计师不熟悉软件安全性的问题，导致App存在许多漏洞，自然无法阻挡免黑客组织的攻击。为避免发生前述状况，不少软件业者会在App上架前，先委由第三方单位进行原码检测，通过自行找出软件漏洞并且进行修补的方式，减少被黑客组织入侵的机率。

许武先认为，原码检测或许可以找出程序代码中的漏洞，但并不代表开发人员有能力解决，而且也难保日后不会有新漏洞出现。所以有厂商直接采取可保护App安全的作法，让App具备防止逆向工程、防止App遭篡改、阻挡侦错、恶意软件植入、储存数据加密等功能。如此一来，当软件遭到黑客强力破坏后，App中数字标章便会自动消失，云端应用主机便会藉此辨识软件安全与否，彻底杜绝黑客入侵的可能性。

在云端平台选择上，尽管多数公有云端服务业者都有提供基本防护能力，如防火墙等等，但在黑客入侵管道多样化下，业者不妨依照应用服务种类，额外租用威胁防护、数据加密、身份访问控制、渗透测试等服务，通过多种信息安全设备协同合作的方式，能够在发现恶意软件入侵的当下，立即阻断相关连线作业，有效保护物联网环境的安全。