网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

目前已经有黑客通过分析破解智能家电、无人机等物联网智能终端设备的通信传输协议，实现了对物联网智能终端的入侵。物联网智能终端的网络通信协议自身安全性十分有限，而某些终端所采用的自定义网络通信协议的安全性则更为堪忧。而且，现在较多的物联网智能终端在网络通信过程中，所传输的信息数据仅采用很简单的加密方法，甚至没有采用任何安全加密手段，直接对信息进行明文传输，黑客只要破解通信协议，就可以直接获取传输数据，并任意进行篡改、劫持、屏蔽等操作。因此，通信传输协议和传输内容保护是物联网智能终端安全通信需要重点关注的两个部分。

目前许多安全通信措施都是为通用计算设备所设计，由于计算资源或系统类别的限制，很难在物联网智能终端上实现。物联网智能终端采用缺乏加密的通信机制，通信数据部分或全部明文传输，且物联网络很少具有网络分段隔离机制，这些都使得物联网智能终端极易遭受同网段网络的病毒感染、恶意访问或非法操控。

5.薄弱的身份认证和授权机制

在物联网智能终端接入物联网系统，或者终端之间互联互通时，需要依靠身份认证来识别连接设备的合法性，通过授权来访问目标程序或文件，如果没有身份认证和授权机制，可能会有冒用的终端接入网络，或者重要的敏感数据被进行不合法的访问，会给整个系统带来极大的安全问题。

在很多物联网系统当中，终端规模很大，且相互协同工作的终端可能属于不同的供应商，使用不同软硬件框架的终端彼此间缺乏统一的身份认证标准，很难实现终端之间的身份认证。传统的身份认证和授权体系通常是针对用户身份，对于物联网智能终端，其身份可能不涉及任何个人用户，而且部分智能终端还需要实现自动化的方式进行连接和通信，这为物联网智能终端的认证增加了复杂性，而基于成本考虑或者缺乏安全技术能力，一些生产商在终端上使用了很简单的身份认证手段，不严格的授权访问控制，甚至有的终端没有任何身份认证和授权访问机制，为终端安全埋下了严重的安全隐患。另外，有的终端针对身份认证信息未做加密保护，在认证信息传输过程中，攻击者可以截获并进行篡改，或者以重放的方式绕过身份认证和授权体系接入网络。

现在物联网智能终端身份认证和授权不足是普遍存在的问题，大量智能终端还在使用弱密码，或者使用缺省登录账号和密码，甚至一些设备没有设置缺省密码，登录不需要任何认证，黑客很容易就能获取到这类设备的控制权。

6.缺乏软件安全更新机制

无论物联网智能终端开发商在设备软件开发过程当中是否结合了安全性的考虑，在软件上都不可避免地会存在安全漏洞，包括设备操作系统、固件和业务应用等。有些生产商为了节约开发成本，使用通用、开源的固件或操作系统，直接调用第三方组件，很可能会引入公开的软件漏洞，导致终端在出厂时就已经存在安全问题。有些终端出厂时安装的软件，由于未及时更新，也可能在未来出现安全漏洞。如果没有相应的软件更新机制，设备漏洞会一直存在而无法修复。目前，大部分物联网智能终端没有自动系统升级和漏洞修复机制，即使在软件当中发现高危漏洞，它们也很难被升级修复，极易被攻击者利用，而设备使用者的忽视更会让这一问题迅速扩大。因此，除非拥有持续的软件安全更新机制，否则物联网智能终端将存在较高的软件漏洞风险。

另外部分厂商没有注意到软件在升级过程当中的安全性，部分物联网智能终端拥有软件更新机制，但是却忽略了软件更新过程的安全性，软件升级包升级过程中没有完整性和合法性验证，容易被攻击者从中劫持或更改软件升级包，而没有进行过加密处理的软件升级包，则可能会被攻击者截取用于发起中间人攻击，从而将恶意程序升级到终端当中。因此，不安全的软件升级机制往往会“制造”出更大的安全漏洞。

7.缺少敏感数据保护机制

物联网智能终端作为物联网的感知层主要进行信息采集，终端上往往会涉及到重要敏感业务数据或者个人的隐私信息，例如智能电表的用电信息、家庭智能家居采集的用户数据、智能穿戴设备采集的个人信息等，这些终端上面的敏感数据可能会被攻击者直接篡改或者加以利用。另外，设备与设备之间也存在数据泄露渠道，在同一网段或相邻网段的设备可能会查看到其它设备的数据信息。