接上篇《天羅地網(wǎng)物聯(lián)網(wǎng)系列：10 個(gè)物聯(lián)網(wǎng)大威脅(上)》

之前看完了第10名到第6名的選手，今天就來(lái)看看對(duì)物聯(lián)網(wǎng)(IoT)前五名分別是哪些威脅吧!

[[282766]]

第5名：使用不安全或過(guò)時(shí)的組件

使用已停止維護(hù)或不安全的軟件組件/函式庫(kù)，導(dǎo)致設(shè)備可能被入侵。這亦包含了不安全的客制化操作系統(tǒng)，以及使用來(lái)自供應(yīng)鏈中已被入侵的廠商所提供的第三方軟硬件組件。

第4名：缺乏安全更新機(jī)制

缺乏安全進(jìn)行設(shè)備更新的能力，這包含了缺乏設(shè)備韌體的驗(yàn)證、缺乏數(shù)據(jù)傳輸時(shí)之加密、缺乏防版本回刷機(jī)制，及缺乏因應(yīng)更新而導(dǎo)致之安全性改變之通知。

第3名：不安全的操作系統(tǒng)接口

可用于操控IoT設(shè)備的不安全的網(wǎng)頁(yè)、后端API、云端或智能型手機(jī)接口，導(dǎo)致設(shè)備可能遭入侵并影響相關(guān)組件。常見(jiàn)的問(wèn)題包括缺乏身份驗(yàn)證機(jī)制、缺乏加密機(jī)制，或是加密機(jī)制很弱，以及缺乏輸出入信息的過(guò)濾。

第2名：不安全的網(wǎng)絡(luò)服務(wù)

設(shè)備上運(yùn)行有非必要或是不安全的網(wǎng)絡(luò)服務(wù)，特別是那些可以直接由因特網(wǎng)存取的設(shè)備，并造成信息之保密性、一致性及可用性受影響，并導(dǎo)致允許未經(jīng)授權(quán)的遠(yuǎn)程訪問(wèn)。

第1名：弱密碼、容易被猜到的密碼及寫(xiě)死的密碼

使用容易就能被暴力破解的密碼、能夠公開(kāi)取得的密碼、或是沒(méi)有改變過(guò)的默認(rèn)密碼，例如韌體中藏有之后門(mén)，以及透過(guò)客戶(hù)端的軟件提權(quán)并進(jìn)到布建的系統(tǒng)內(nèi)部等。

補(bǔ)充一下，大部分的IoT殭尸網(wǎng)絡(luò)都是透過(guò)這個(gè)威脅取得目標(biāo)設(shè)備的訪問(wèn)權(quán)限，并透過(guò)該設(shè)備進(jìn)行下一步的對(duì)外攻擊。

以上就是由OWASP所發(fā)展出IoT的前10大威脅清單，也建議各位在建置或管理IoT時(shí)應(yīng)該要確認(rèn)一下，是不是有剛好踩到這些雷，以免造成設(shè)備遭入侵或數(shù)據(jù)外泄導(dǎo)致?lián)p失喔!