脆弱的物聯網應用程式體讓駭客竊喜

標籤：應用程式   智能手機   行動裝置 App   互連網   網路攝影機   

刨除種類繁多的CPU底層硬體裝置，以及版本雜亂的作業系統平台，物聯網裝置自身的安全隱患與PC時代、互連網時代IT產品所面臨的安全問題幾乎完全相同，或者說是“一脈相承”。借用梆梆安全產品副總裁付傑先生的一句話，“只是要開的那扇門變得更加複雜、麻煩了而已。”

智能網路攝影機、智能手機、智能汽車……物聯網終端的硬體平台早已不複PC、互連網時代那麼單一，作業系統類型更是五花八門。這意味著駭客需要針對不同硬體平台、不同作業系統找到分別適合的“撬鎖工具”——入侵方法。“原先的門可能只有幾扇或者十幾扇，一套或者幾套撬鎖工具就能搞定。但物聯網時代的門可能會有成百上千，所需要的撬鎖工具更可能是需要數以十計或者更多。”

一旦推開了門，生存於其中的程式、應用裡所暗藏的安全隱患與PC、互連網時代則如出一轍。早在2013年左近，梆梆安全在給各類行動裝置 App做安全檢測時就發現，漏洞多多、問題重重、千瘡百孔，“PC裡的安全問題在這裡一個都沒少，一切都是那麼老套。”

隨著物聯網所關聯的利益鏈變得龐大起來，駭客發起攻擊的“性價比”愈發高漲，特別是當物聯網攻擊難度大多聚焦在“開門”這個環節時，老套的安全隱患將進一步降低惡意攻擊成本，誘導惡意攻擊者通過對物聯網發起攻擊擷取驚人收益。

在物聯網世界裡拼搏的人們，當您依然將產品效能、使用者體驗放在第一的位置，當您依然弱視、無視安全性把它放在遙遠的第N位置時，這意味著您已經將本應自己收穫的累累果實，“無私”地“奉獻”給了惡意攻擊者，並為其予取予求“大開方便之門”。

物聯網時代下，忽視安全，就等同於放棄了生存的權利！

毫不設防的程式碼，讓駭客輕鬆得手。

Mirai病毒通過掃描物聯網裝置，嘗試預設通用密碼進行登入操作，一旦成功即將這台物聯網裝置作為“肉雞”納入到殭屍網路裡，進而操控其攻擊其他網路裝置。

在本次攻擊事件中被攻擊控制的網路攝影機、DVR，其模組中的密碼被寫入到了韌體裡，一方面使用者對於這個密碼毫不知情，另一方面還沒有任何工具能夠修改這個模組的密碼，這給了駭客可乘之機。駭客在掃描發現這一安全性漏洞後，通過預設密碼就開啟了大門，進而修改了應用程式的訪問網路地址，再控制其發起DDoS攻擊，一切都是如此的“水到渠成”、“毫無阻礙”！對安全性的忽視，使得物聯網裝置裡的應用程式體異常脆弱，很容易被攻擊者發現漏洞、利用漏洞。

實際上，現在大多數行動裝置 App程式、物聯網終端裡的應用程式，都“慣例性”的沒有對自身進行任何安全增強，雖然設定了登入密碼，但很容易被攻擊者找到擷取密碼或者繞過密碼的方法。一番反編譯下來，就能對應用程式瞭解個底朝天，篡改操作實在是得心應手，借用一句網路語“簡單的不要不要的”！

如果要瞭解更多相關網路安全資訊，請訪問電腦管理軟體。

 

脆弱的物聯網應用程式體讓駭客竊喜