分析物联网设备七大攻击面及其应对方案注:本文经过精心编辑,部分内容来源网络,如有疑议,请联系我们处理。针对物联网设备的安全问题,需要提高黑客攻击物联网设备的成本,降低物联网设备的安全风险。我们将从 7 个攻击面对设备进行安全评估分析,并给出应对措施。 1. 糟糕的 Web 用户界面 配置良好的 Web 用户界面是吸引用户的重要因素之一。对于物联网应用程序而言,良好的 Web 用户界面可以帮助用户实现各项控制功能,设置设备,以及更快、更轻松地将设备集成到系统中。但是麻烦的是,这些 Web用户界面常常也会为网络犯罪分子提供同样的易用性。 大多数情况下,令人苦恼的物联网 Web 界面问题与 Web 应用程序的问题同样困扰着企业。虽然 SQL 注入在物联网应用程序中并不是什么大问题,但命令注入、跨站点脚本以及跨站点请求伪造都是编程错误,能够导致犯罪分子随时访问设备和完整的系统,以控制、监视和访问真实世界的运营操作。 幸运的是,大多数 Web 用户界面安全问题的补救措施与多年来向 Web 开发人员反复灌输的内容相同,包括:验证输入、要求强密码(并且不允许在第一阶段的初始设置后使用默认密码)、不公开凭据、限制密码重试尝试,以及确保密码和用户名恢复程序的可靠性等。正如 Sam 在《卡萨布兰卡(Casablanca)》中所吟唱的那般,随着时间流逝,还是那一套。 威胁案例:在 2025 年的 44Con 大会上,讨论人员 Mike Jordan 就演示了如何利用佳能的 Pixma 打印机的 Web 界面修改打印机的固件从而运行 Doom游戏。 2. 缺乏身份验证 为物联网应用程序验证用户身份是一件好事。当应用程序可以控制建筑物访问和进行环境控制,或者为可能监视建筑物使用者的音频和视频设备提供访问权限时,身份验证似乎是必备因素,但在某些情况下,即使是最基本的身份验证也在实施中被遗漏了。 对于物联网应用程序来说,两种身份验证非常重要。首先是用户身份验证。考虑到许多物联网环境的复杂性,问题是每个设备是否需要身份验证,或者单个系统身份验证是否足以支持网络上的每个设备。易用性的考虑使大多数系统设计人员选择后者,所以对接入设备或控制中心的强身份验证显得至关重要。 系统的单点登录也使得另一种类型的认证设备认证变得更为重要。由于用户没有在每个设备接口上进行身份验证,因此物联网网络中的设备应该要求它们之间进行身份验证,以便攻击者无法使用隐含的信任作为进入系统的凭证。 与 We...
