IoT 裝置安全涵蓋哪些內容？

IoT 安全是指保護物聯網 (IoT) 裝置和應用案例，免於潛在威脅和漏洞的侵害。由於 IoT 裝置相互聯接，容易受到各種風險的影響，包括未經授權的存取、資料洩露，甚至物理損害。

IoT 裝置安全涵蓋哪些內容？

• 弱認證是普遍的問題，因為預設密碼通常容易被猜到或公開取得。此外，一些 IoT 裝置缺乏適當的驗證機制，這使其成為駭客入侵整個網路、或將其用於惡意活動 (如殭屍網路) 的潛在入口。因此，製造商應加強驗證措施，例如要求多步驟驗證並強制使用高強度的預設密碼。

• 低處理能力是另一個挑戰。儘管成本降低且電池壽命延長，但這限制了 OTA 更新的能力，以及防火牆和 End-to-End 加密等網路安全功能的實施。為了解決此問題，網路必須整合內建的安全功能，有效保護 IoT 裝置。

• 處理舊有資產。 在沒有必要的安全增強情況下，將過時的應用案例整合至 IoT 生態系統可能存在風險。舊有資產可能不相容於新的加密標準，而使其易於受到攻擊。然而，由於舊有資產結構複雜且相互關聯的性質 (通常需多年的開發)，對其改造會面臨重大挑戰。製造商必須謹慎評估並改善這類資產的安全性。

• 共用網路風險。如果 IoT 裝置和終端使用者的其他裝置共用一個網路，則整個網路就會面臨高風險。若駭客成功入侵某個 IoT 裝置，可能會藉此存取網路或其他裝置上的敏感資料。為了避免此情況，每個 IoT 應用案例應使用獨立的網路、使用安全閘道、或使用行動 IoT，從而隔離裝置本身的潛在漏洞。建置虛擬私人網路 (VPN) 可以增加額外的保護，但與其他裝置共用連線仍可能帶來風險。

• 缺乏標準化和加密。IoT 生態系統中安全標準的不一致，正逐漸成為確保裝置安全及實現安全 M2M 通訊的一大挑戰。缺乏統一的業界標準，各公司和利基廠商必須開發自己的通訊協定與指引，使安全措施變得更加複雜。此外，為了避免網路洩露，應對一般傳輸進行加密。

• 韌體更新問題。 其中一個最重大的 IoT 安全風險，來自於在現場部署的裝置可能存在漏洞或弱點。不論是源於製造商的程式碼或第三方來源，發布韌體更新的能力，對於消除這些風險至關重要。製造商應盡可能提供遠端更新功能，若不可行，則必須考慮替代方案。低資料傳輸率或有限的訊息傳遞能力，可能需要實際存取裝置進行更新。

IoT 漏洞的範例有哪些？ 

• 惡意殭屍網路接管 (2016)：2016年，一起廣為人知的「殭屍網路接管」事件震撼了 IoT 領域。網路犯罪者利用未加密 IoT 裝置的漏洞，主要是攝影機和路由器，使其感染 Mirai 惡意軟體。這個龐大的殭屍網路隨後被用來發動強大的分散式阻斷服務 (DDoS) 攻擊，造成大規模網際網路中斷，引起了對 IoT 安全性的嚴重擔憂。

• 連網汽車漏洞 (2015)：2015 年，安全研究人員揭露了一款連網汽車車型 (Jeep Cherokee) 存在的嚴重漏洞，這成為 IoT 漏洞的著名示範。研究人員展示了如何透過汽車資訊娛樂系統中的漏洞，遠端控制如方向盤、煞車及變速箱等基本功能。

• 嬰兒監視器隱私洩露 (多起事件)：多起令人不安的事件顯示，嬰兒監視器遭駭客暗中入侵。他們利用安全漏洞，未經授權存取這些裝置，進而竊聽嬰兒，甚至與毫無防備的父母進行通訊。

• 智慧玩具資料洩露 (2017)：2017 年，一個著名的智慧玩具品牌 CloudPets 發生重大資料洩露，影響了數百萬使用者。由於資料庫安全防護不足，造成超過兩百萬條兒童及其家庭的錄音資料外洩。這起事件引發了人們對於家庭使用的 IoT 裝置 (特別是涉及兒童的裝置) 的隱私與安全性的質疑。

• 智慧門鈴隱私問題 (2019)：2019 年，一連串事件引發了對智慧門鈴攝影機相關隱私問題的關注。有報導指出，未經授權者取得門鈴攝影機的存取權，侵犯了屋主的隱私，甚至對他們進行騷擾。