物聯網漏洞頻傳 成駭客攻擊首選標的

Google Paly平台上的App數量雖然快速增加，但缺乏嚴謹審核制度，也導致惡意App數量達到200萬以上。

過去談到資安事件，多數人心中浮起的第一個想法，大概都是某個企業單位或政府機關遭到駭客入侵，但是隨著全球可連網設備裝置暴增，資安事件早非商業組織專屬，一般消費者也早陷入個資被竊的恐慌中。如2014年底便曾爆發駭客組織大量竊取路監控設備的中影片，並且透過架設網站方式散播，英國資訊委員會辦公室當時預估外流影片數量，可能達到7萬則以上，凸顯出在物聯網蓬勃發展的背後，正隱藏著容易被人忽略的安全危機。

早在2014年月，惠普科技便曾發表一份針對物聯網安全問題的研究報告，文中指出每個連網裝置平均約有25個資安漏洞，而最大問題在於未加密通信傳輸與身份認證不足，以致於造成使用者個資容易洩漏。美國聯邦貿易委員會亦在2015年1月發表物聯網安全建議報告，指出可上網智慧型設備因隱私和安全設計上的缺陷，讓駭客能在入侵物聯網後，轉而攻擊其它更具商業價值的系統。

Google Play平台不夠嚴謹  惡意App上看200萬

過去駭客組織攻擊商業組織是為獲取經濟利益，襲擊政府機構則是要達成特定政治目的，轉而攻擊消費者生活息息相關的物聯網，除想要造成民眾恐慌之外，更是看準全球可連網裝置在2015年已達50億個，一旦突破物聯網防禦機制，能為日後發動大規模攻擊作準備，以便能夠取得更龐大利潤。現今物聯網架構存在許多難以解決的漏洞，首先是可連網裝置多半採用Linux、iOS、Android等行動作業系統，因與個人電腦的Windows平台迥異，在無法沿用既有相同資安軟體的前提下，自然很難防堵客組織發動的新型態攻擊手法。

其次，可連網裝置運算能力並不高，特別是部分用於智慧電網、環境監測領域之中的裝置，僅能提供極為簡單的應用服務。在此狀況下，根本不可能安裝任何防禦軟體，頂多只能仰賴晶片本身內建的加密機制，保護重要資料的安全，一旦廠商沒有修改產品預設的密碼，便很容易被駭客組織攻破。以駭客組織入侵全球網路攝影機為例，資安顧問介入調查後發現，受害消費者多數都是沿用系統預設密碼，如1234、password等等，才會讓駭客不費吹灰之力，即可輕鬆取得各種資料與影像。

最後一項問題，則因Google Play平台採取開放政策，在欠缺完整功能審核與測試機制下，駭客組織可以上傳內建惡意程式的山寨或惡意App，當消費者不小心下載並使用後，便能夠在消費者無法察覺到任何異狀下，私下開始將個資傳送到惡意中繼站，同時悄悄取得手機的控制權。如英國BBC網站在2016年初遭到600Gb流量的DDoS攻擊，技術顧問以數位鑑識技術進行分析後發現，許多攻擊流量居然源自於行動或手持裝置，證明許多設備早被駭客組織控制。

事實上，根據各家資安公司公佈的研究報告顯示，市面上針對行動裝置設計的惡意程式數量，光是在為Android平台上的病毒數量已突破達200萬種以上，即便是被視為較安全的iOS平台，近來也有陸續爆發被駭客入侵，為物聯網日後發展帶來不少隱憂。

三大元件相互認證  才能減少入侵行為

商機可望達到兆億美元以上的物聯網，是由終端裝置、應用軟體、雲端平台所組成的架構，依照各廠商設計的不同軟體功能，能有智慧城市、智慧家庭、車連網、智慧醫療、智慧電網、能源管理等應用。因此，業者若要保護應用服務的安全，避免自家服務被駭客組織入侵，勢必得從前述三大面向著手，才能降低資安事件發生的機率。

AWS亞太地區首席技術講師Markku Lepisto認為，可連網設備受限於效能上的限制，幾乎不可能預先安裝防毒或入侵偵測軟體，才會成為駭客組織欲大力攻擊的目標。而若要減少資安事件發生，業者自行開發的應用軟體需具備偵測裝置安全與否的能力，在確認裝置沒有被駭客入侵後，才依照使用者的身份等級，給予相對應的存取權限。至於雲端平台本身，則需具備阻擋駭客攻擊的能力，如APT、DDoS等等，才能達到保護使用者資料安全的目標。

根據趨勢科技進行的研究調查報告縣市，儘管駭客組織推陳出新的攻擊手法，確實難以透過單一資安設備阻擋，但造成資安事件不斷發生的主因，在於沒有定期安裝修補程式。所以行動裝置製造商讓提高行動設備的防護能力，應該要隨時關注CVE(Common Vulnerabilities & Exposures)組織發佈軟體漏洞訊息，透過定時更新設備的軟體版本，積極修復各種軟體漏洞的方式，自然能減少攻擊事件發生。

此外，考量到消費者沒有修改預設密碼，又或者密碼設定過於簡單，亦是造成資料外洩的主要原因，廠商不妨在可連網裝置中，能夠加入提醒修改密碼功能，以及可設定高強度密碼的機制，也能減少因人為疏忽造成資安事件的機率。而增加資料加密傳輸的選項，同樣可增加駭客取得資料的難度，能有效保護商業機密的安全。

善用原碼檢測服務  可降低軟體漏洞風險

長期觀察App資安問題的果核數位營運長許武先指出，Google Play平台上惡意App氾濫主因，在於Android系統選擇Java作為開發語言，在軟體完成開發後，並不會直接將原始碼編譯成的機械碼，以致於存在易被反編譯的弱點。換句話說，駭客能夠透過逆向工程取得原始碼的方式，找出應用程式的漏洞或弱點，再將該App植入惡意程式之後，重新放上Google Play平台，誘騙消費者在不知情下載安裝。當然，駭客組織亦可直接採取攻破雲端主機的模式，直接竊取平台上的個資或商業機密。

根據果核數位的非正式統計，在Google play平台上的前100大熱門遊戲中，約有90個App皆有可被反編譯取得原始碼的弱點。另外，多數App設計師不熟悉軟體安全性的問題，導致App存在許多漏洞，自然無法阻擋免駭客組織的攻擊。為避免發生前述狀況，不少軟體業者會在App上架前，先委由第三方單位進行原碼檢測，透過自行找出軟體漏洞並且進行修補的方式，減少被駭客組織入侵的機率。

許武先認為，原碼檢測或許可以找出程式碼中的漏洞，但並不代表開發人員有能力解決，而且也難保日後不會有新漏洞出現。所以有廠商直接採取可保護App安全的作法，讓App具備防止逆向工程、防止App遭篡改、阻擋偵錯、惡意程式植入、儲存資料加密等功能。如此一來，當軟體遭到駭客強力破壞後，App中數位標章便會自動消失，雲端應用主機便會藉此辨識軟體安全與否，徹底杜絕駭客入侵的可能性。

在雲端平台選擇上，儘管多數公有雲端服務業者都有提供基本防護能力，如防火牆等等，但在駭客入侵管道多樣化下，業者不妨依照應用服務種類，額外租用威脅防護、資料加密、身份存取控制、滲透測試等服務，透過多種資安設備協同合作的方式，能夠在發現惡意程式入侵的當下，立即阻斷相關連線作業，有效保護物聯網環境的安全。