物聯網的使用已經逐漸廣泛起來，在我們的家中可能就有物聯網設備，比如智能貓眼等。為增進大家對物聯網的認識，本文將對物聯網和物聯網的幾個薄弱攻擊點予以介紹。如果你對物聯網、物聯網安全具有興趣，不妨繼續(xù)往下閱讀哦。

一、物聯網

物聯網概念的問世，打破了之前的傳統(tǒng)思維。過去的思路一直是將物理基礎設施和IT基礎設施分開，一方面是機場、公路、建筑物，另一方面是數據中心，個人電腦、寬帶等。而在物聯網時代,鋼筋混凝土、電纜將與芯片、寬帶整合為統(tǒng)一的基礎設施，在此意義上，基礎設施更像是一塊新的地球。故也有業(yè)內人士認為物聯網與智能電網均是智慧地球的有機構成部分。

不過，也有觀點認為，物聯網迅速普及的可能性有多大，尚難以輕言判定。畢竟RFID早已為市場所熟知，但新大陸等擁有RFID業(yè)務的相關上市公司定期報告顯示出業(yè)績的高成長性尚未顯現出來，所以，對物聯網的普及速度存在著較大的分歧。但可以肯定的是，在國家大力推動工業(yè)化與信息化兩化融合的大背景下，物聯網會是工業(yè)乃至更多行業(yè)信息化過程中，一個比較現實的突破口。而且，RFID技術在多個領域多個行業(yè)所進行的一些閉環(huán)應用。在這些先行的成功案例中，物品的信息已經被自動采集并上網，管理效率大幅提升，有些物聯網的夢想已經部分的實現了。所以，物聯網的雛形就象互聯網早期的形態(tài)局域網一樣，雖然發(fā)揮的作用有限，但昭示著的遠大前景已經不容質疑。

二、物聯網攻擊手段

攻擊面1：管理缺陷

管理缺陷導致的問題是安全的最大和最不可防范的問題。雖然是反映在技術上，比如弱口令、比如調試接口、比如設備LOG信息泄露等等但無一例外都是安全開發(fā)管理缺陷導致。

比如，產品設計的時候就沒有考慮到授權認證或者對某些路徑進行權限管理，任何人都可以最高的系統(tǒng)權限獲得設備控制權。

比如，開發(fā)人員為了方便調試，可能會將一些特定賬戶的認證硬編碼到代碼中，出廠后這些賬戶并沒有去除。攻擊者只要獲得這些硬編碼信息，即可獲得設備的控制權。

比如，開發(fā)人員在最初設計的用戶認證算法或實現過程中存在缺陷，例如某攝像頭存在不需要權限設置session的URL路徑，攻擊者只需要將其中的Username字段設置為admin，然后進入登陸認證頁面，發(fā)現系統(tǒng)不需要認證，直接為admin權限。

應對措施：信息網絡安全需要在產品的各個流程中進行，包括公司管理流程，在設備上市前進行專業(yè)的產品安全測試，降低物聯網設備安全風險。

攻擊面2：通訊方式

通訊接口允許設備與傳感器網絡、云端后臺和移動設備APP等設備進行網絡通信，其攻擊面可能為底層通信實現的固件或驅動程序代碼。

比如，中間人攻擊一般有旁路和串接兩種模式，攻擊者處于通訊兩端的鏈路中間，充當數據交換角色，攻擊者可以通過中間人的方式獲得用戶認證信息以及設備控制信息，之后利用重放方式或者無線中繼方式獲得設備的控制權。例如通過中間人攻擊解密HTTPS數據，可以獲得很多敏感的信息。

比如，無線網絡通信接口存在一些已知的安全問題，從攻擊角度看，可對無線芯片形成攻擊乃至物理破壞、DOS、安全驗證繞過或代碼執(zhí)行等。

比如，以太網設備接口如wifi接口等都存在一些底層TCP/IP通信漏洞、硬件實現漏洞和其它攻擊向量。

比如，無線通信Bluetooth (and BLE)、ZigBee、Zwave、NFC、RFID、LoRA、Wireless HART，等等。

應對措施：物聯網終端設備種類繁多，具體應用場景豐富，通信方法多種多樣，而且在不斷變化過程中，這是物聯網安全最薄弱和最難以克服的問題?？梢詢戎冒踩珯C制，增加漏洞利用難度，廠商可以通過增量補丁方式向用戶推送更新，用戶需要及時進行固件更新。

攻擊面3：云端攻擊

近年來，物聯網設備逐步實現通過云端的方式進行管理，攻擊者可以通過挖掘云提供商漏洞、手機終端APP上的漏洞以及分析設備和云端的通信數據，偽造數據進行重放攻擊獲取設備控制權。

應對措施：建議部署廠商提供的整體安全解決方案。比如目前的IFAA技術方案如果應用在物聯網上可以進行安全的身份認證，同時保護數據安全。再比如阿里主導下的ICA聯盟在這方面也作出了一些有益的工作。

以上便是此次小編帶來的物聯網相關內容，通過本文，希望大家對物聯網已經具備一定的了解。如果你喜歡本文，不妨持續(xù)關注我們網站哦，小編將于后期帶來更多精彩內容。最后，十分感謝大家的閱讀，have a nice day!