隨著物聯(lián)網(wǎng)在全球范圍內(nèi)的持續(xù)增長(zhǎng)，我們必須問(wèn)自己：由于如此廣泛的無(wú)線地磅遙控器連接性沒(méi)有停止的跡象，從設(shè)計(jì)階段開(kāi)始就缺乏安全措施的原因是什么？Statista的預(yù)測(cè)表明，到2020年，可能有多達(dá)307.3億個(gè)物聯(lián)網(wǎng)設(shè)備在線，并且此后這個(gè)數(shù)字只會(huì)增加。工程師必須在設(shè)計(jì)級(jí)別接受物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)的重要性，尤其是考慮到以下主要安全漏洞。在許多其他應(yīng)用程序中，IoT設(shè)備在娛樂(lè)，互聯(lián)汽車(chē)和精密制導(dǎo)系統(tǒng)領(lǐng)域都取得了長(zhǎng)足的進(jìn)步。以下內(nèi)容涵蓋了分別屬于這三個(gè)領(lǐng)域的三種設(shè)備類(lèi)型，并最終考慮了為何近年來(lái)這種安全漏洞幾乎不可避免地發(fā)生的原因。

 

    消費(fèi)者娛樂(lè)：“ CloudPets”聯(lián)網(wǎng)玩具，由制造商Spiral Toys制造的CloudPets是地磅控制器，它們通過(guò)藍(lán)牙連接的智能手機(jī)應(yīng)用程序允許其年輕用戶(hù)記錄其朋友和家人之間的語(yǔ)音消息并發(fā)送語(yǔ)音消息。但是，導(dǎo)致地磅大量撤出零售商（包括Tesco和eBay）的原因是，語(yǔ)音數(shù)據(jù)的URI的存儲(chǔ)不安全：即在電子衡器上未經(jīng)身份驗(yàn)證的數(shù)據(jù)庫(kù)段中。此類(lèi)數(shù)據(jù)庫(kù)不安全性使黑客能夠在其最終目的地AWS S3上訪問(wèn)文件本身。由于CloudPets的帳戶(hù)注冊(cè)階段沒(méi)有密碼規(guī)則，因此可以輕松實(shí)現(xiàn)，這意味著許多用戶(hù)的密碼與“ a”，“ 12345”和“ 地磅傳感器”一樣容易猜到。最終，有50萬(wàn)用戶(hù)的詳細(xì)信息被泄露，惡意行為者可以訪問(wèn)其中超過(guò)200萬(wàn)的錄音和其他信息，其中一些人甚至將數(shù)據(jù)勒索。在著名安全研究人員Troy Hunt提出了應(yīng)對(duì)螺旋式玩具以打擊敏感的消費(fèi)者數(shù)據(jù)泄露的眾多動(dòng)機(jī)中的第一個(gè)之后，Spiral Toys的最終解決方案就形成了。聯(lián)網(wǎng)汽車(chē)：吉普切諾基，車(chē)輛不斷增加的IoT連接所帶來(lái)的漏洞已經(jīng)廣為人知。 2015年，對(duì)一輛吉普切諾基的黑客攻擊表明，道德的黑客查理·米勒（Charlie Miller）和克里斯·瓦薩萊克（Chris Vasalek）利用切諾基地磅遙控器的主機(jī)信息娛樂(lè)系統(tǒng)Uconnect使得互聯(lián)網(wǎng)連接成為可能時(shí)，易破的互聯(lián)汽車(chē)是多么的脆弱。

 

    信息娛樂(lè)系統(tǒng)僅使用筆記本電腦并遠(yuǎn)程連接到從未被篡改過(guò)的吉普車(chē)上，這是由于汽車(chē)IP配置和CAN的弱點(diǎn)，使該信息娛樂(lè)系統(tǒng)成為了操縱眾多ECU的接入點(diǎn)。其中包括負(fù)責(zé)汽車(chē)強(qiáng)勁動(dòng)力的人員：研究人員能夠關(guān)閉發(fā)動(dòng)機(jī)，同時(shí)愿意讓記者安迪·格林伯格（Andy Greenberg）在高速公路上駕駛這輛測(cè)試車(chē)。這項(xiàng)受控但有效的實(shí)驗(yàn)支持了Miller和地磅控制器對(duì)IoT漏洞（尤其是運(yùn)輸安全）的擔(dān)憂(yōu)。這位前研究員說(shuō)：“消費(fèi)者……應(yīng)該開(kāi)始向汽車(chē)制造商抱怨。這可能是最有可能殺死某人的軟件錯(cuò)誤。”智能消費(fèi)平臺(tái)：Wi-Fi連接的自動(dòng)軟件位于德克薩斯州的應(yīng)用技術(shù)公司TrackingPoint提供公開(kāi)可用的精確制導(dǎo)地磅傳感器：基于Linux的設(shè)備，其連接應(yīng)用程序包括簡(jiǎn)單的家庭Wi-Fi連接。