资料来源:
https://securityboulevard.com/2022/07/7-common-internet-of-things-iot-attacks-that-compromise-security/
01
技术在不断发展,物联网经济显示出蓬勃生机。有数据显示,到 2022 年底,其市场预计将增长18%,达到 144 亿活跃连接。
规模化的设备接入物联网,为整个生态提供“万物互联”的新服务,但随之而来的各种攻击和威胁的概率也在增大,如恶意软件攻击、密码泄露、DDoS 攻击等。
物联网汇聚庞大商机,也成为黑客觊觎的目标。
物联网(Internet of Things,简称IoT),指的是将各种日常设备,如恒温器、汽车、冰箱、门锁、相机、健身追踪器等连接到互联网或其他无线通信网络,实现在任何地点、任何时间,对设备的识别、跟踪、监控和管理。
在日常生活中,物联网应用领域广泛,比如智能家居、智能出行、智慧城市等,大大提高了人们的生活质量。
智能家居是物联网的基础应用,它通过物联网技术将各种设备连接到一起,提供家电控制、照明控制、电话远程控制、防盗报警等多种功能和手段。比如,智能音响,不仅可播放新闻和音乐,还能回答问题、设置闹钟、开/关灯。
像手表这样的智能穿戴设备,不仅能看时间,还可以发送消息、接听电话、播放音乐、计算步数、查看社交互动等。
物联网车辆可以通过无线网络与设备连接。这些汽车提供车载WIFI连接,还具有远程锁止/解锁车门、打开天窗或启动/停止发动机等功能。如果司机越过了设定的边界,地理围栏功能会提醒车主。
最典型的问题在于,物联网设备除了默认密码外没有配备其他安全程序,黑客只要远程操作,一旦发现系统漏洞就可以控制整个系统。同时,设备连接的方式越多,黑客的机会也就越多。总结起来有三个挑战:
大多数物联网设备不具备整合防病毒或防火墙保护的能力,因此很容易被黑客利用。
数据显示,有84% 的企业使用了物联网设备,但却只有 50% 部署了适当的安全措施。物联网设备被认为是无线系统中最薄弱的元素,易受到攻击,是一个很容易被忽视的主要网络安全漏洞。
物联网设备之间的无线连接代表了更广泛的攻击面,相当于给黑客提供了远程访问的无数入口点。
黑客通过物联网设备监控用户的网络,并秘密收集敏感数据,包括银行详细信息和登录凭据。他们甚至可以坐在用户附近的地方,窃听房间里正在进行的对话。
专业黑客可以攻击操作系统,他们利用物联网设备中未修补的漏洞或零日漏洞将权限提升到管理员级别并完全控制系统。
企业如果没有定期更改密码,只使用默认、未更改或弱密码,就容易让黑客攻破。黑客通过暴力攻击,使用试错法破解所有可能组合的密码,黑进系统、账户或网络。
黑客在合法节点之间注入恶意脚本,以访问链接节点之间交换的数据。
黑客向用户发送带有损坏链接的虚假更新通知,将用户定向到恶意网站,并要求提交个人详细信息或用恶意软件感染用户系统。
黑客的目标是通过多个设备访问单个服务器,借助僵尸网络恶意软件尝试通过受感染或“僵尸化”的物联网设备进行 DDoS 攻击。
可以通过外部访问的物联网设备,比如互联车辆,在开放环境中谁都可以控制它,因此黑客可以通过物理篡改建立立足点,进行有针对性的攻击。
物联网的发展规律决定了物联网安全问题需要尽早着手:
设计和制造物联网设备的供应商需要从开发阶段就提高安全标准,默认安全功能可保护操作系统并避免恶意软件进入。
公钥基础设施 (PKI) 保护安装在各种设备之间的客户端-服务器连接,使用加密的数字证书对关键数据和网络之间的交互进行加密和解密。
PKI 和数字证书,可以通过隐藏用户在交易网站上输入的文本信息来保护用户。
在所有物联网设备上启用密码保护程序。强密码至少有12个字符,由大小写数字和特殊字符组合而成,并为每个设备和账户使用唯一的密码。此外,不要设置可猜测的密码,例如出生日期、街道地址等。
企业可以将设备放在锁定的机箱中进行物理保护,同时采取必要措施覆盖端口(因为它们是最容易受到攻击的网关)。
资料来源:
https://securityboulevard.com/2022/07/7-common-internet-of-things-iot-attacks-that-compromise-security/