物聯網已與主要網路攻擊產生關聯,通常涉及濫用易受攻擊的聯網裝置(例如監視攝影機),以協助進行惡意活動。根據銓安智慧科技(InfoKeyVault)分析,駭客攻擊主要可從五個層面進攻,包含外接記憶體晶片接取(External Memory IC Access)、Debug Port Implants、旁道攻擊(Side Channel Attacks, SCA)、故障注入攻擊(Fault Injection)與低階逆向工程(Low Lever Reverse)等管道,其中有50%的駭客會直接攻擊外部記憶體,從而取得數據資料(如管理其他控制單元的金鑰密碼);而有25%的駭客是透過Debug Port管道,取得微控制器(MCU)記憶體資料,進而打造一個仿真的設備,或者與其他物聯網設備溝通,趁機竊取相關的資料,若Debug Port通道沒關閉,就等於是為駭客開啟一道後門的概念。
英飛凌(Infineon)大中華區智能卡與保密晶片事業處資深經理田沛灝表示,Debug Port是每顆硬體元件都會有的機制,特別是形同設備中大腦角色的MCU,若Debug Port留了一個後門,讓駭客將裡面的程式碼(Code),透過Debug Port這個窗口將程式全部拿走,就等同於核心失守。此外,CPU因為有需要存取記憶體的功能,故程式的撰寫必定與記憶體相關,當駭客透過Debug Port將暫存資料全部下載時,即能得知該裝置存取時間、資料與輸入密碼的時間點,進而攻破裝置本身的邏輯。
整體而言,物聯網安全設備不能從單一元件做為確保安全的唯一窗口,而需從整個系統架構來看。IEK產業經濟與趨勢研究中心電子與系統研究組專案經理徐富桂談到,安全防護須從雲端、網路與底層的感測裝置各別強化,以確保有效的安全防護管理。以現階段來說,物聯網系統受到了一些資安挑戰,導致安全亮起紅燈問題有三點。
首先,60%左右的物聯網裝置受限於成本與開發時程等因素,在開發時大多採用Open Source,故約60%左右設計,在設計之初並無考慮到安全問題,隱藏許多系統性弱點。(根據Trend Micro分析既有安全漏洞問題指出,現有物聯網裝置大多採用免費的開放原始碼Linux作業系統,隱藏約200個既有的安全漏洞。);其次,有許多物聯網系統裝置、網路與雲端密碼強度不足;最後,聯網裝置的使用者對物聯網資安問題沒概念,導致大量裝置未更新至最新的系統版本。
為了改善上述問題,從物聯網設備製造商觀點,可由整體系統是否會被入侵,以及整個生命週期需要如何管理等問題進行改善,提升整體系統安全性。而物聯網設備營運商則須思考如何管理設備,包含設備本身是否設有仿冒的障礙、存取(Access)管控機制是否完整,傳輸資料是否可能被假造等,解決可預測的資安挑戰。
