IOT设备的7大安全问题

串口安全

IOT设备一般包含各类串口,并且这些串口缺乏认证机制。一旦暴露给了hacker,hacker可以很容易的查找敏感信息和dump固件,从而导致各类安全问题。建议厂家在推出IOT设备时,尽量关闭各类串口和加强认证机制。

默认证书(密码)

默认证书(密码)是攻击者常用攻击目标之一,许多IOT设备使用相同的默认密码,并且用户不能主动修改该密码,hacker可以在几分钟内就暴力破解这些密码,从而导致各类安全问题。Mirai就是很好的例子,由于默认密码过于简单,并且无法修改,导致厂家只能召回设备修复该问题。

硬编码问题

由于开发过程中的不规范,导致很多私钥,API keys,甚至是链接服务器的密码都被硬编码到固件中,导致敏感信息泄漏。可以使用一些自动化的脚本来扫描这类问题。

不安全的移动和WEB应用

不安全的的移动和WEB应用是13个IOT关键安全问题之一。由于开发商缺乏对这类问题的关注,导致数百万用户面临安全风险。hacker可以利用诸如SQL和XML注入,身份验证旁路和未经授权的访问等漏洞入侵IOT设备,进入工厂或者命令模式获取敏感信息等。

不安全的网络通信

不安全的网络通信是最常见的安全问题之一,这会导致攻击者获取到敏感信息(on the fly),甚至搞清楚IOT设备的工作方式。例如,在智能家居开发的过程中,由于不安全的网络通信,我们可以伪造各类指令,实现控制整个系统。开发者和攻击者都需要能实现中间人攻击的工具,实现拦截,篡改,发送数据包的功能。

不安全的无线通信

IOT设备的无线通信协议一般是wifi,BLE,zigbee,6LoWPAN等。加密密钥一般在固件火灾闪存芯片中(使用JTAG或者其他技术可以获取到)。一旦攻击者获得这些密钥,则攻击者可以实现嗅探,篡改,伪造数据包。例如实现一个蠕虫,感染整个网络。开发者最好能保证加密的强度和完整性的校验来提升无线通信过程的安全性。

缺乏完整性和签名的校验

对于IOT设备来说,完整性校验和签名校验是对抗漏洞利用强有力的手段。这些校验需要分布到bootloader一直到OTA的各个阶段,甚至是网络通信过程。缺乏这些校验,攻击者很容易就篡改网络中的组建,实现恶意行为,如获取敏感信息或者植入恶意代码。

IOT设备的7大安全问题的更多相关文章

  1. 安天透过北美DDoS事件解读IoT设备安全——Mirai的主要感染对象是linux物联网设备,包括:路由器、网络摄像头、DVR设备,入侵主要通过telnet端口进行流行密码档暴力破解,或默认密码登陆,下载DDoS功能的bot,运行控制物联网设备

    安天透过北美DDoS事件解读IoT设备安全 安天安全研究与应急处理中心(安天CERT)在北京时间10月22日下午启动高等级分析流程,针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件进行了跟进分析. ...

  2. IoT设备上的恶意软件——通过漏洞、弱密码渗透

    2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网.随着5G网络的发展,我们身边的 IoT 设备会越来越多.与此同时,IoT 的安全问题也慢慢 ...

  3. 省钱版----查找 IoT 设备TTL线序__未完待续

    作者:仙果 原文来自:省钱版—-查找 IoT 设备TTL线序 省钱版----查找 IoT 设备TTL线序__未完待续 缘由 在IoT固件调试分析的过程中,建议首先在IoT设备的板子上焊接调试线,这是能 ...

  4. 物联网(IoT)的11大云平台:AWS、Azure、谷歌云、Oracle、

    物联网(IoT)的11大云平台:AWS.Azure.谷歌云.Oracle. 2018-11-06 14:02 云技术 关键词:物联网AzureGoogleSalesforce云计算 导读:现在,我们将 ...

  5. EMQ 与 mqtt 与 IOT设备

    1.IOT设备的特性 IOT(物联网things of internet)设备和传统的智能设备有什么区别,笔者总结下的IOT设备有如下特点: 硬件能力差(存储能力基本只有几MB,CPU频率低连使用HT ...

  6. IOT设备通讯,MQTT物联网协议,MQTTnet

    一.IOT设备的特性 硬件能力差(存储能力基本只有几MB,CPU频率低连使用HTTP请求都很奢侈) 系统千差万别(Brillo,mbedOS,RIOT等) 如使用电池供电,电量消耗敏感 如果是小设备, ...

  7. IoT 设备通信安全讨论

    IoT 设备通信安全讨论 作者:360CERT 0x00 序言 IoT 设备日益增多的今天,以及智能家居这一话题愈发火热,智能家居市场正在飞速的壮大和发展,无数 IoT 设备正在从影片中不断的走向用户 ...

  8. OpenHarmony3.0如何轻松连接华为云IoT设备接入平台?

    摘要:本文主要介绍基于OpenHarmony 3.0版本来对接华为云IoT设备接入IoTDA,以小熊派BearPi-HM_Nano开发板为例,使用huaweicloud_iot_link SDK对接华 ...

  9. Win10 IoT C#开发 5 - 操作 IoT 设备内嵌 SQLite 数据库 CURD

    Windows 10 IoT Core 是微软针对物联网市场的一个重要产品,与以往的Windows版本不同,是为物联网设备专门设计的,硬件也不仅仅限于x86架构,同时可以在ARM架构上运行. 前几章我 ...

随机推荐

  1. maven仓库 - nexus配置

    搭建环境: 腾讯云服务器 CentOS 6.8.jdk7.sonatype nexus.maven.Xshell 5 版本信息: jdk : jdk-7u80-linux-x64.tar.gz nex ...

  2. Java的EOF标识?

     这篇是关于JAVA中EOF标识的讲解,之前在工作上碰到过一个问题,有人问过,不能通过判断EOF来知道文件有没有读取完毕吗?其实,还真不能.  直接从JDK接口文档入手,以FileInputStrea ...

  3. Emacs 笔记二

    Emacs 笔记二 Table of Contents 1. 前言 2. emacs基本操作(常用快捷键) 3. emacs模式讲解 4. emacs缓冲区 5. org mode 5.1. 列表 5 ...

  4. MapReduce之Job提交流程源码和切片源码分析

    hadoop2.7.2 MapReduce Job提交源码及切片源码分析 首先从waitForCompletion函数进入 boolean result = job.waitForCompletion ...

  5. 性能优化:虚拟列表,如何渲染10万条数据的dom,页面同时不卡顿

    列表大概有2万条数据,又不让做成分页,如果页面直接渲染2万条数据,在一些低配电脑上可能会照成页面卡死,基于这个需求,我们来手写一个虚拟列表 思路 列表中固定只显示少量的数据,比如60条 在列表滚动的时 ...

  6. Spring MVC-从零开始-@RequestMapping结合@RequestParam (从HTTP键值对中取值,作用于函数参数)

    1.@RequestParam 注解使用的时候可以有一个值,也可以没有值:如果请求参数和处理方法参数的名称一样的话,@RequestParam 注解的 value 这个参数就可省掉了:@Request ...

  7. TensorFlow基本计算单元与基本操作

    在学习深度学习等知识之前,首先得了解著名的框架TensorFlow里面的一些基础知识,下面首先看一下这个框架的一些基本用法. import tensorflow as tf a = 3 # Pytho ...

  8. Linux——基本命令

    目录 一.目录切换命令 二.目录操作命令(增删改查) 2.1增加目录 2.2查看目录 2.3寻找目录(搜索) 2.4修改目录名称 2.5移动目录位置(剪切) 2.6拷贝目录 2.7删除目录 三.文件的 ...

  9. Sublime Text 3 配置 Phpcs

    Phpcs 插件介绍 可以为 Sublime Text 编辑器提供代码格式检测的功能,使用以下工具(全部可选): PHP_CodeSniffer (phpcs) Linter (php -l) PHP ...

  10. CSS 预处理语言之 Scss 篇

    简介 1. Sass 和 Scss Sass 和 Scss 其实是同一种东西,我们平时都称之为 Sass:Scss 是 Sass 3 引入新的语法,其语法完全兼容 CSS3,并且继承了 Sass 的强 ...