在構建、部署或管理物聯網系統時，最大的問題和漏洞到底是什麼？更重要的是，我們可以採取哪些措施來緩解這些問題？

這就是OWSAPP（開放式Web應用程式安全專案）存在的原因。援引OWASP對自己的介紹，“OWASP物聯網專案旨在幫助製造商、開發人員和使用者更好地理解與物聯網相關的安全問題，並且使任何環境中的使用者能夠在構建、部署或評估物聯網技術時做出更好的安全決策。”

1.使用弱密碼、可猜解密碼或硬編碼密碼

使用易於被暴力破解、公開常見的或不可更改的口 令憑據，包括韌體或客戶端軟體中的後門，對已部署系統授予未授權訪問許可權。

點評：坦率講，這個問題非常突出，現在仍然令人難以置信，它仍然是我們必須面對的首要問題。我們也許會認為物聯網裝置或應用程式的價格非常便宜或者覺得這並沒有多大壞處，但這種“懶惰想法”從來都不是使用弱密碼的藉口。

2.不安全的網路服務

在裝置上執行的不必要或不安全的網路服務，特別 是那些暴露在網際網路上的網路服務，會損害資訊的機密性、完整性/真實性或可用性，或可導致允許未經授權的遠端控制。

點評：這是有道理的，但它更像是一個灰色地帶，因為我們往往並不清楚這些網路服務是“不必要的還是不安全的”。

3.不安全的生態系統介面

物聯網裝置外部生態系統中的不安全的Web、後端 API、雲或移動介面，可能導致攻擊破壞裝置或其相關元件。常見問題包括缺乏身份認證/授權、缺少或弱加密，以及缺乏I/O過濾。

點評：同樣，介面方面的威脅並不總是明顯的，但身份認證、加密和過濾始終是必要的。

4.缺乏安全的更新機制

缺乏安全更新裝置的能力。這包括裝置上缺少韌體 驗證，缺乏安全交付（在傳輸過程中未加密），缺乏防回滾機制，以及由於更新而缺乏安全更改通知。

點評：對於物聯網應用而言，這是一個持續存在的問題，因為許多供應商和企業都不願意為其裝置的長遠使用考慮。此外，這並不總是技術問題，在某些情況下，物聯網裝置的物理位置使得更新和維修/更換工作成為一項重大挑戰。

5.使用不安全或過時的元件

使用可能允許裝置洩露的不安全或已棄用的軟體組 件/庫，這包括作業系統平臺的不安全定製，以及來自受損供應鏈的第三方軟體或硬體元件的使用。

點評：這種問題沒有任何藉口。不要使用便宜的元件並做正確的事。

6.隱私保護不足

使用者的個人資訊儲存在物聯網裝置上或其相關的生 態系統中，未經許可違規使用。

點評：顯然，個人資訊需要妥善處理，但這裡的關鍵是“許可”，除非得到使用者的許可，否則任何人或組織不得違規使用某人的個人資訊。

7.不安全的資料傳輸和儲存

物聯網生態系統內的敏感資料缺乏加密或訪問控制，包括資料在儲存、傳輸或處理過程中。

點評：雖然許多物聯網供應商都關注安全儲存，但確保資料在傳輸過程中的安全通常會被忽略。

8.缺乏裝置管理

在產品中部署的裝置缺乏安全支援，包括資產管理、更新管理、系統監控和響應功能。

點評：物聯網裝置可能很小，價格低廉，並且可以大量部署，但這並不意味著您不必管理它們。事實上，管理它們比以往任何時候都更重要。即便這並不容易。

9.不安全的預設設定

裝置或系統附帶了不安全的預設設定，或者缺乏通 過限制使用者修改配置來提高系統安全性的能力。

點評：這個問題不應該在2019年發生，每個人都應該知道這是個隱患並且知道如何避免它。

10.缺乏物理強化措施

缺乏物理強化措施，允許潛在的攻擊者獲取敏感信 息，而這些資訊可能被用於未來的遠端攻擊或對裝置進行本地控制。

點評：物聯網由“Things”組成。記住物聯網的物理特性並採取措施保護所涉及的相關裝置非常重要。