上接《天罗地网物联网系列:10 个物联网大威胁(上)》在看第10~6名选手之前,今天先来看看前五名的物联网(IoT)威胁有哪些?No.5:使用不安全或过时的组件使用未维护或不安全的软件组件/库,这可能会导致设备入侵。这还包括不安全的自定义操作系统以及使用来自供应链中受损供应商的第三方硬件和软件组件。第四:缺乏安全更新机制缺乏安全更新设备的能力,包括缺乏设备固件验证、数据传输过程中缺乏加密、缺乏反版本闪回机制、缺乏更新通知引起的安全变化。第3种:不安全的操作系统接口不安全的网页、后端API、云或智能手机接口可用于操纵物联网设备,从而可能危及设备并影响相关组件。常见的问题包括缺乏认证机制、缺乏加密机制或弱加密机制、缺乏对传入和传出信息的过滤。No.2:不安全的网络服务设备上运行不必要或不安全的网络服务,尤其是那些可以直接从互联网访问的网络服务,会影响信息的机密性、一致性和可用性,并导致允许未经授权的远程访问。No.1:弱口令、易猜口令、硬编码口令使用容易被暴力破解的口令、公开可用的口令,或者未更改的默认口令,比如隐藏在固件门中,并通过客户端的软件提权和访问已部署的系统等方式补充,大多数物联网僵尸网络利用这种威胁来获得对目标设备的访问权限,并利用该设备进行进一步的外部攻击。以上是OWASP开发的十大物联网威胁列表。也建议大家在建设或管理物联网时,确认自己刚刚踩了这些地雷,以免造成设备入侵或数据泄露造成损失。哦!
