IOT设备的7大安全问题
IOT设备的7大安全问题
串口安全
IOT设备一般包含各类串口,并且这些串口缺乏认证机制。一旦暴露给了hacker,hacker可以很容易的查找敏感信息和dump固件,从而导致各类安全问题。建议厂家在推出IOT设备时,尽量关闭各类串口和加强认证机制。
默认证书(密码)
默认证书(密码)是攻击者常用攻击目标之一,许多IOT设备使用相同的默认密码,并且用户不能主动修改该密码,hacker可以在几分钟内就暴力破解这些密码,从而导致各类安全问题。Mirai就是很好的例子,由于默认密码过于简单,并且无法修改,导致厂家只能召回设备修复该问题。
硬编码问题
由于开发过程中的不规范,导致很多私钥,API keys,甚至是链接服务器的密码都被硬编码到固件中,导致敏感信息泄漏。可以使用一些自动化的脚本来扫描这类问题。
不安全的移动和WEB应用
不安全的的移动和WEB应用是13个IOT关键安全问题之一。由于开发商缺乏对这类问题的关注,导致数百万用户面临安全风险。hacker可以利用诸如SQL和XML注入,身份验证旁路和未经授权的访问等漏洞入侵IOT设备,进入工厂或者命令模式获取敏感信息等。
不安全的网络通信
不安全的网络通信是最常见的安全问题之一,这会导致攻击者获取到敏感信息(on the fly),甚至搞清楚IOT设备的工作方式。例如,在智能家居开发的过程中,由于不安全的网络通信,我们可以伪造各类指令,实现控制整个系统。开发者和攻击者都需要能实现中间人攻击的工具,实现拦截,篡改,发送数据包的功能。
不安全的无线通信
IOT设备的无线通信协议一般是wifi,BLE,zigbee,6LoWPAN等。加密密钥一般在固件火灾闪存芯片中(使用JTAG或者其他技术可以获取到)。一旦攻击者获得这些密钥,则攻击者可以实现嗅探,篡改,伪造数据包。例如实现一个蠕虫,感染整个网络。开发者最好能保证加密的强度和完整性的校验来提升无线通信过程的安全性。
缺乏完整性和签名的校验
对于IOT设备来说,完整性校验和签名校验是对抗漏洞利用强有力的手段。这些校验需要分布到bootloader一直到OTA的各个阶段,甚至是网络通信过程。缺乏这些校验,攻击者很容易就篡改网络中的组建,实现恶意行为,如获取敏感信息或者植入恶意代码。
IOT设备的7大安全问题的更多相关文章
- 安天透过北美DDoS事件解读IoT设备安全——Mirai的主要感染对象是linux物联网设备,包括:路由器、网络摄像头、DVR设备,入侵主要通过telnet端口进行流行密码档暴力破解,或默认密码登陆,下载DDoS功能的bot,运行控制物联网设备
安天透过北美DDoS事件解读IoT设备安全 安天安全研究与应急处理中心(安天CERT)在北京时间10月22日下午启动高等级分析流程,针对美国东海岸DNS服务商Dyn遭遇DDoS攻击事件进行了跟进分析. ...
- IoT设备上的恶意软件——通过漏洞、弱密码渗透
2018年,是 IoT 高速发展的一年,从空调到电灯,从打印机到智能电视,从路由器到监控摄像头统统都开始上网.随着5G网络的发展,我们身边的 IoT 设备会越来越多.与此同时,IoT 的安全问题也慢慢 ...
- 省钱版----查找 IoT 设备TTL线序__未完待续
作者:仙果 原文来自:省钱版—-查找 IoT 设备TTL线序 省钱版----查找 IoT 设备TTL线序__未完待续 缘由 在IoT固件调试分析的过程中,建议首先在IoT设备的板子上焊接调试线,这是能 ...
- 物联网(IoT)的11大云平台:AWS、Azure、谷歌云、Oracle、
物联网(IoT)的11大云平台:AWS.Azure.谷歌云.Oracle. 2018-11-06 14:02 云技术 关键词:物联网AzureGoogleSalesforce云计算 导读:现在,我们将 ...
- EMQ 与 mqtt 与 IOT设备
1.IOT设备的特性 IOT(物联网things of internet)设备和传统的智能设备有什么区别,笔者总结下的IOT设备有如下特点: 硬件能力差(存储能力基本只有几MB,CPU频率低连使用HT ...
- IOT设备通讯,MQTT物联网协议,MQTTnet
一.IOT设备的特性 硬件能力差(存储能力基本只有几MB,CPU频率低连使用HTTP请求都很奢侈) 系统千差万别(Brillo,mbedOS,RIOT等) 如使用电池供电,电量消耗敏感 如果是小设备, ...
- IoT 设备通信安全讨论
IoT 设备通信安全讨论 作者:360CERT 0x00 序言 IoT 设备日益增多的今天,以及智能家居这一话题愈发火热,智能家居市场正在飞速的壮大和发展,无数 IoT 设备正在从影片中不断的走向用户 ...
- OpenHarmony3.0如何轻松连接华为云IoT设备接入平台?
摘要:本文主要介绍基于OpenHarmony 3.0版本来对接华为云IoT设备接入IoTDA,以小熊派BearPi-HM_Nano开发板为例,使用huaweicloud_iot_link SDK对接华 ...
- Win10 IoT C#开发 5 - 操作 IoT 设备内嵌 SQLite 数据库 CURD
Windows 10 IoT Core 是微软针对物联网市场的一个重要产品,与以往的Windows版本不同,是为物联网设备专门设计的,硬件也不仅仅限于x86架构,同时可以在ARM架构上运行. 前几章我 ...
随机推荐
- List之ConcurrentModificationException异常
一.前言 Java开发工作中,集合类ArrayList应该是使用非常频繁了.在使用过程中,可能会遇到迭代删除的需求场景,此时如果代码书写不当,就会抛出 java.util.ConcurrentModi ...
- 报错:ORA-25150:不允许对区参数执行ALERING
alter table 表名 MOVE storage ( next 128 ) ; -- Add/modify columns alter table 表名 add 列名 var ...
- NABCD分析 [团队任务]
N(Need,需求) 学校有许多闲置的自己用不着或者想出手的二手物品,加群发消息寻找物品太过繁琐,同样兼职信息在QQ群混杂在一起尤为不便.因此我们打算做一个专门发布信息的App.包括发布闲置物品,兼职 ...
- 手把手教你Pytest+Allure2.X定制报告详细教程,给自己的项目量身打造一套测试报告-02(非常详细,非常实用)
简介 前边一篇文章是分享如何搭建pytest+Allure的环境,从而生成一份精美的.让人耳目一新的测试报告,但是有的小伙伴或者童鞋们可能会问,我能不能按照自己的想法为我的项目测试结果量身打造一份属于 ...
- Spring boot 梳理 - SpringApplication
简单启动方式 public static void main(String[] args) { SpringApplication.run(MySpringConfiguration.class, a ...
- Save&Load--Unity存档读档的学习总结
存档与读档功能 举例: 传统RPG游戏(仙剑.空之轨迹): 1.角色信息(生命值,等级) 2.道具信息(装备,药品) 3.场景信息(场景名称.角色坐标) 4.事件信息(任务相关) 关卡类游戏:关卡的通 ...
- mysql创建数据库指定字符集和校对规则
mysql创建数据库的语法格式: CREATE DATABASE [IF NOT EXISTS] <数据库名> [[DEFAULT] CHARACTER SET <字符集名>] ...
- 前端 NPM常用命令行
1. 登陆npm npm login 2. 将项目发布至npm npm publish 3. 查看已有源; 其中前面带星号的为当前使用的npm源 nrm ls 4. 切换源 nrm use 或 如: ...
- Hyperion: Building the Largest In memory Search Tree
Introduction 索引在数据管理中起到很重要的作用,很多索引结构都会采用访问速度快而且内存消耗少的trie树,但一般常见的trie树索引结构都强调效率而忽视内存的效率,他们的效率虽然高,但内存 ...
- vue2.0项目记住密码和用户名实例
的今天突来兴致,试了一下将用户名和密码存在cookie和localStorage里如何实现:从代码难易程度来讲,果断选择了将用户名和密码存在localStorage里面.当然菜鸟上这么说的,楼下. 也 ...