品安科技
aten
 

物聯網漏洞頻傳 成駭客攻擊首選標的

Google Paly平台上的App數量雖然快速增加,但缺乏嚴謹審核制度,也導致惡意App數量達到200萬以上。

過去談到資安事件,多數人心中浮起的第一個想法,大概都是某個企業單位或政府機關遭到駭客入侵,但是隨著全球可連網設備裝置暴增,資安事件早非商業組織專屬,一般消費者也早陷入個資被竊的恐慌中。如2014年底便曾爆發駭客組織大量竊取路監控設備的中影片,並且透過架設網站方式散播,英國資訊委員會辦公室當時預估外流影片數量,可能達到7萬則以上,凸顯出在物聯網蓬勃發展的背後,正隱藏著容易被人忽略的安全危機。

早在2014年月,惠普科技便曾發表一份針對物聯網安全問題的研究報告,文中指出每個連網裝置平均約有25個資安漏洞,而最大問題在於未加密通信傳輸與身份認證不足,以致於造成使用者個資容易洩漏。美國聯邦貿易委員會亦在2015年1月發表物聯網安全建議報告,指出可上網智慧型設備因隱私和安全設計上的缺陷,讓駭客能在入侵物聯網後,轉而攻擊其它更具商業價值的系統。

 點擊圖片放大觀看

有不少業者會在AWS平台上推出各種應用服務,建議額外租用威脅防護、資料加密、身份存取控制、滲透測試等服務,保護物聯網環境的安全。

Google Play平台不夠嚴謹  惡意App上看200萬

過去駭客組織攻擊商業組織是為獲取經濟利益,襲擊政府機構則是要達成特定政治目的,轉而攻擊消費者生活息息相關的物聯網,除想要造成民眾恐慌之外,更是看準全球可連網裝置在2015年已達50億個,一旦突破物聯網防禦機制,能為日後發動大規模攻擊作準備,以便能夠取得更龐大利潤。現今物聯網架構存在許多難以解決的漏洞,首先是可連網裝置多半採用Linux、iOS、Android等行動作業系統,因與個人電腦的Windows平台迥異,在無法沿用既有相同資安軟體的前提下,自然很難防堵客組織發動的新型態攻擊手法。

其次,可連網裝置運算能力並不高,特別是部分用於智慧電網、環境監測領域之中的裝置,僅能提供極為簡單的應用服務。在此狀況下,根本不可能安裝任何防禦軟體,頂多只能仰賴晶片本身內建的加密機制,保護重要資料的安全,一旦廠商沒有修改產品預設的密碼,便很容易被駭客組織攻破。以駭客組織入侵全球網路攝影機為例,資安顧問介入調查後發現,受害消費者多數都是沿用系統預設密碼,如1234、password等等,才會讓駭客不費吹灰之力,即可輕鬆取得各種資料與影像。

最後一項問題,則因Google Play平台採取開放政策,在欠缺完整功能審核與測試機制下,駭客組織可以上傳內建惡意程式的山寨或惡意App,當消費者不小心下載並使用後,便能夠在消費者無法察覺到任何異狀下,私下開始將個資傳送到惡意中繼站,同時悄悄取得手機的控制權。如英國BBC網站在2016年初遭到600Gb流量的DDoS攻擊,技術顧問以數位鑑識技術進行分析後發現,許多攻擊流量居然源自於行動或手持裝置,證明許多設備早被駭客組織控制。

事實上,根據各家資安公司公佈的研究報告顯示,市面上針對行動裝置設計的惡意程式數量,光是在為Android平台上的病毒數量已突破達200萬種以上,即便是被視為較安全的iOS平台,近來也有陸續爆發被駭客入侵,為物聯網日後發展帶來不少隱憂。

三大元件相互認證  才能減少入侵行為

商機可望達到兆億美元以上的物聯網,是由終端裝置、應用軟體、雲端平台所組成的架構,依照各廠商設計的不同軟體功能,能有智慧城市、智慧家庭、車連網、智慧醫療、智慧電網、能源管理等應用。因此,業者若要保護應用服務的安全,避免自家服務被駭客組織入侵,勢必得從前述三大面向著手,才能降低資安事件發生的機率。

AWS亞太地區首席技術講師Markku Lepisto認為,可連網設備受限於效能上的限制,幾乎不可能預先安裝防毒或入侵偵測軟體,才會成為駭客組織欲大力攻擊的目標。而若要減少資安事件發生,業者自行開發的應用軟體需具備偵測裝置安全與否的能力,在確認裝置沒有被駭客入侵後,才依照使用者的身份等級,給予相對應的存取權限。至於雲端平台本身,則需具備阻擋駭客攻擊的能力,如APT、DDoS等等,才能達到保護使用者資料安全的目標。

根據趨勢科技進行的研究調查報告縣市,儘管駭客組織推陳出新的攻擊手法,確實難以透過單一資安設備阻擋,但造成資安事件不斷發生的主因,在於沒有定期安裝修補程式。所以行動裝置製造商讓提高行動設備的防護能力,應該要隨時關注CVE(Common Vulnerabilities & Exposures)組織發佈軟體漏洞訊息,透過定時更新設備的軟體版本,積極修復各種軟體漏洞的方式,自然能減少攻擊事件發生。

此外,考量到消費者沒有修改預設密碼,又或者密碼設定過於簡單,亦是造成資料外洩的主要原因,廠商不妨在可連網裝置中,能夠加入提醒修改密碼功能,以及可設定高強度密碼的機制,也能減少因人為疏忽造成資安事件的機率。而增加資料加密傳輸的選項,同樣可增加駭客取得資料的難度,能有效保護商業機密的安全。

善用原碼檢測服務  可降低軟體漏洞風險

長期觀察App資安問題的果核數位營運長許武先指出,Google Play平台上惡意App氾濫主因,在於Android系統選擇Java作為開發語言,在軟體完成開發後,並不會直接將原始碼編譯成的機械碼,以致於存在易被反編譯的弱點。換句話說,駭客能夠透過逆向工程取得原始碼的方式,找出應用程式的漏洞或弱點,再將該App植入惡意程式之後,重新放上Google Play平台,誘騙消費者在不知情下載安裝。當然,駭客組織亦可直接採取攻破雲端主機的模式,直接竊取平台上的個資或商業機密。

根據果核數位的非正式統計,在Google play平台上的前100大熱門遊戲中,約有90個App皆有可被反編譯取得原始碼的弱點。另外,多數App設計師不熟悉軟體安全性的問題,導致App存在許多漏洞,自然無法阻擋免駭客組織的攻擊。為避免發生前述狀況,不少軟體業者會在App上架前,先委由第三方單位進行原碼檢測,透過自行找出軟體漏洞並且進行修補的方式,減少被駭客組織入侵的機率。

許武先認為,原碼檢測或許可以找出程式碼中的漏洞,但並不代表開發人員有能力解決,而且也難保日後不會有新漏洞出現。所以有廠商直接採取可保護App安全的作法,讓App具備防止逆向工程、防止App遭篡改、阻擋偵錯、惡意程式植入、儲存資料加密等功能。如此一來,當軟體遭到駭客強力破壞後,App中數位標章便會自動消失,雲端應用主機便會藉此辨識軟體安全與否,徹底杜絕駭客入侵的可能性。

在雲端平台選擇上,儘管多數公有雲端服務業者都有提供基本防護能力,如防火牆等等,但在駭客入侵管道多樣化下,業者不妨依照應用服務種類,額外租用威脅防護、資料加密、身份存取控制、滲透測試等服務,透過多種資安設備協同合作的方式,能夠在發現惡意程式入侵的當下,立即阻斷相關連線作業,有效保護物聯網環境的安全。

更多關鍵字報導: 資安 物聯網平臺