物联网漏洞频传 成黑客攻击首选标的

Google Paly平台上的App数量虽然快速增加，但缺乏严谨审核制度，也导致恶意App数量达到200万以上。

过去谈到网安事件，多数人心中浮起的第一个想法，大概都是某个企业单位或政府机关遭到黑客入侵，但是随着全球可联网设备装置暴增，网安事件早非商业组织专属，一般消费者也早陷入个资被窃的恐慌中。如2014年底便曾爆发黑客组织大量窃取路监控设备的中影片，并且透过架设网站方式散播，英国信息委员会办公室当时预估外流影片数量，可能达到7万则以上，凸显出在物联网蓬勃发展的背后，正隐藏着容易被人忽略的安全危机。

早在2014年月，惠普科技便曾发表一份针对物联网安全问题的研究报告，文中指出每个联网装置平均约有25个网安漏洞，而最大问题在于未加密通信传输与身份认证不足，以致于造成使用者个资容易泄漏。美国联邦贸易委员会亦在2015年1月发表物联网安全建议报告，指出可上网智能设备因隐私和安全设计上的缺陷，让黑客能在入侵物联网后，转而攻击其它更具商业价值的系统。

Google Play平台不够严谨  恶意App上看200万

过去黑客组织攻击商业组织是为获取经济利益，袭击政府机构则是要达成特定政治目的，转而攻击消费者生活息息相关的物联网，除想要造成民众恐慌之外，更是看准全球可联网装置在2015年已达50亿个，一旦突破物联网防御机制，能为日后发动大规模攻击作准备，以便能够取得更庞大利润。现今物联网架构存在许多难以解决的漏洞，首先是可联网装置多半采用Linux、iOS、Android等移动操作系统，因与个人电脑的Windows平台迥异，在无法沿用既有相同网安软件的前提下，自然很难防堵客组织发动的新型态攻击手法。

其次，可联网装置运算能力并不高，特别是部分用于智能电网、环境监测领域之中的装置，仅能提供极为简单的应用服务。在此状况下，根本不可能安装任何防御软件，顶多只能仰赖芯片本身内建的加密机制，保护重要数据的安全，一旦厂商没有修改产品缺省的口令，便很容易被黑客组织攻破。以黑客组织入侵全球网络摄影机为例，网安顾问介入调查后发现，受害消费者多数都是沿用系统缺省口令，如1234、password等等，才会让黑客不费吹灰之力，即可轻松取得各种数据与影像。

最后一项问题，则因Google Play平台采取开放政策，在欠缺完整功能审核与测试机制下，黑客组织可以上传内建恶意程序的山寨或恶意App，当消费者不小心下载并使用后，便能够在消费者无法察觉到任何异状下，私下开始将个资传送到恶意中继站，同时悄悄取得手机的控制权。如英国BBC网站在2016年初遭到600Gb流量的DDoS攻击，技术顾问以数码监识技术进行分析后发现，许多攻击流量居然源自于移动或手持装置，证明许多设备早被黑客组织控制。

事实上，根据各家网安公司公布的研究报告显示，市面上针对移动设备设计的恶意程序数量，光是在为Android平台上的病毒数量已突破达200万种以上，即便是被视为较安全的iOS平台，近来也有陆续爆发被黑客入侵，为物联网日后发展带来不少隐忧。

三大元件相互认证  才能减少入侵行为

商机可望达到万亿亿美元以上的物联网，是由终端装置、应用软件、云端平台所组成的架构，依照各厂商设计的不同软件功能，能有智能城市、智能家庭、车联网、智能医疗、智能电网、能源管理等应用。因此，业者若要保护应用服务的安全，避免自家服务被黑客组织入侵，势必得从前述三大面向着手，才能降低网安事件发生的机率。

AWS亚太地区首席技术讲师Markku Lepisto认为，可联网设备受限于效能上的限制，几乎不可能预先安装防毒或入侵侦测软件，才会成为黑客组织欲大力攻击的目标。而若要减少网安事件发生，业者自行开发的应用软件需具备侦测装置安全与否的能力，在确认装置没有被黑客入侵后，才依照使用者的身份等级，给予相对应的存取权限。至于云端平台本身，则需具备阻挡黑客攻击的能力，如APT、DDoS等等，才能达到保护使用者数据安全的目标。

根据趋势科技进行的研究调查报告县市，尽管黑客组织推陈出新的攻击手法，确实难以透过单一网安设备阻挡，但造成网安事件不断发生的主因，在于没有定期安装修补程序。所以移动设备制造商让提高移动设备的防护能力，应该要随时关注CVE(Common Vulnerabilities & Exposures)组织发布软件漏洞信息，透过定时更新设备的软件版本，积极修复各种软件漏洞的方式，自然能减少攻击事件发生。

此外，考量到消费者没有修改缺省口令，又或者口令设定过于简单，亦是造成数据外泄的主要原因，厂商不妨在可联网装置中，能够加入提醒修改口令功能，以及可设定高强度口令的机制，也能减少因人为疏忽造成网安事件的机率。而增加数据加密传输的选项，同样可增加黑客取得数据的难度，能有效保护商业机密的安全。

善用原码检测服务  可降低软件漏洞风险

长期观察App网安问题的果核数码营运长许武先指出，Google Play平台上恶意App泛滥主因，在于Android系统选择Java作为开发语言，在软件完成开发后，并不会直接将原始码编译成的机械码，以致于存在易被反编译的弱点。换句话说，黑客能够透过逆向工程取得原始码的方式，找出应用程序的漏洞或弱点，再将该App植入恶意程序之后，重新放上Google Play平台，诱骗消费者在不知情下载安装。当然，黑客组织亦可直接采取攻破云端主机的模式，直接窃取平台上的个资或商业机密。

根据果核数码的非正式统计，在Google play平台上的前100大热门游戏中，约有90个App皆有可被反编译取得原始码的弱点。另外，多数App设计师不熟悉软件安全性的问题，导致App存在许多漏洞，自然无法阻挡免黑客组织的攻击。为避免发生前述状况，不少软件业者会在App上架前，先委由第三方单位进行原码检测，透过自行找出软件漏洞并且进行修补的方式，减少被黑客组织入侵的机率。

许武先认为，原码检测或许可以找出程序码中的漏洞，但并不代表开发人员有能力解决，而且也难保日后不会有新漏洞出现。所以有厂商直接采取可保护App安全的作法，让App具备防止逆向工程、防止App遭篡改、阻挡侦错、恶意程序植入、储存数据加密等功能。如此一来，当软件遭到黑客强力破坏后，App中数码标章便会自动消失，云端应用主机便会借此识别软件安全与否，彻底杜绝黑客入侵的可能性。

在云端平台选择上，尽管多数公有云端服务业者都有提供基本防护能力，如防火墙等等，但在黑客入侵管道多样化下，业者不妨依照应用服务种类，额外租用威胁防护、数据加密、身份存取控制、渗透测试等服务，透过多种网安设备协同合作的方式，能够在发现恶意程序入侵的当下，立即阻断相关连线作业，有效保护物联网环境的安全。