趨勢科技深究 IoT 信息安全威脅，領先業界發布研究成果

近年來物聯網 IoT 的發展越來越夯，然而製造商普遍欠缺信息安全威脅的防範，在黑客的攻擊下，IoT 可能從 Internet of Things 變成 Internet of Threats。也許你以為那又如何？就算 Insecam 計劃揭露全球IP Cam 不設防，家中隱私被看光光；智能電冰箱跟你要錢，不給錢就不給糖；智能電燈被駭燈亂閃、智能門鈴整晚吵；黑客透過說話玩偶跟你家小朋友聊聊天說說故事，啊就把設備關掉或者不鳥他們就沒事啦，根本不痛不癢。如果你真這麽想，那就大錯特錯。9 月 6 日在中國台灣地區舉行的 CLOUDSEC 2017 企業信息安全高峰論壇上，趨勢科技發布 IoT 信息安全威脅的前瞻研究成果，顯見物聯網設備被犯罪者用作實體攻擊的真實威脅。

近未來寓言

筆者來說個故事，試想像你是某園區的電子新貴，有天早上，你就像平常例行公事，起床、梳洗、更衣，出門買個早餐，就坐上接駁車去上班。接駁車陸續經過各站，最後滿載各公司的員工，只見大家自顧自打開手機，或是瀏覽著網站或者玩著喜歡的遊戲，沒有人關注窗外景色。反正都是一成不變的風景，又有啥好看的呢？然而無人留意到今天的交通車換上了新司機。

「奇怪？不是半小時就到公司了嗎？」，於是你打開了 Google map 來看現在的位置，蠻正常的啊，原來快到園區了。不疑有它的你，就繼續切回遊戲繼續神遊，接著司機還廣播跟大家說，今天額外要去新開的點載人，抬頭一看，瞥見窗外的景色好像跟以往有點不一樣，這樣時間稍微久一點也說得過去了，然後你覺得太陽有點刺眼，就拉上窗帘。

交通車繼續開著，玩著全屏幕遊戲的你開始覺得奇怪了，時間感好像不太對，坐車是不是快一小時了？於是把手機切回主畫面，看看時間，疑？應該是 9 點了啊，怎還是 8 點剛出門的時候？事有蹊翹，再打開 Google map 一看，「我在俄羅斯？怎麼可能！」，接著你猛抬頭，拉開窗帘看窗外，雖不是冰天雪地，卻到了偏僻鄉間，隨即車子駛入一個大倉庫停了下來。接著車門打開，一個手持衝鋒槍的蒙面男子走上車，這時你才恍然大悟之前的 GPS 訊號是假的，甚至司機該不會也是假的？上車時，公司識別證「嗶」過的那個 RFID 讀卡機該不會固件也被竄改過？而這時司機剛好用廣播點到你的名字了…

同一時間點，在行控中心，只見交通車已在園區內，剛走完所有的公司，現在該是空車回調度場的時候了。

到了中午，電視開始報導新聞—科學園區數間公司不少的工程師因不明原因曠職，也聯絡不到人，甚至交通車公司也發現數輛交通車沒有回到調度場。再過幾小時，有目擊者在隔壁縣的鄉下地方發現那些交通車，而所有工程師全部從人間蒸發，不見蹤影。而各公司開始發生 server 異常、機台異常、各單位有接不完的抱怨電話，整個園區陷入空轉。

在幾年前，這還只是電影的虛構情節，然而今日已成可進行式。趨勢科技領先業界，揭示當今的信息安全盲點—當你只專註傳統來自網路的攻擊時，就忽略了物聯網時代，還有來自其他途徑的致命攻擊，而且真的可能致命。

翻拍自電影《黑暗騎士》

就在台北國際會議中心，CLOUDSEC 2017 大會開場完緊接的第二個議程，趨勢科技的信息安全研究員駱一奇先生 Live demo 了一段讓現場 1000 多位與會者震撼不已的攻擊示範—「GPS 劫持」。筆者大概描述過程，首先駱先生請所有與會者打開手機的地圖 APP 與 GPS 功能 ，由於在室內，當然不可能收到來自天空的 GPS 衛星訊號，接著他開始控制一台無人空拍機起飛盤旋，然後駱先生表示現場黑客開始啟動偽造 GPS 無線訊號蓋台，旋不久，大屏幕顯示地圖定位竟然在朝鮮的禁航區—軍用機場，然後無人機就自動「被強制」降落下來了。

也許你以為說「啊，這可以用網路騙一騙，只不過是噱頭罷了。」，駱先生接著提醒大家，除了看台上的無人機「被騙」，也別忘了檢查你自己的手機。只見手機上的地圖 APP 顯示，會議室的位置也「被搬家」到朝鮮去，不少人手機的時鐘也跟著變成朝鮮時間。

是的，就是這麽奇妙，不是透過來自網路的攻擊，就可以讓一大群人集體來一趟朝鮮奇幻漂流。更進一步，趨勢科技為大家歸納了物聯網時代，黑客能採用的多重攻擊途徑與手段：

所有欠缺信息安全防範的 IoT 設備，如無人機、無人自動車、智慧工廠、IP Cam 等等，都可能被黑客覬覦。舊時代的黑客，只是遠端攻破某網站圖個成就感，或者駭到倒楣公司的海量客戶資料；現在的黑客則是走向利益化、實體犯罪化。例如去年的一銀 ATM 大規模盜領案即為一例，透過這些複合攻擊手段與多重標的，有心的犯罪集團得以進行實體破壞，例如：

諜報電影、偵探電影、科幻電影與動畫的天馬行空情節現在都有可能發生，不再只是你的電腦中毒或者網站被駭那麼簡單。

趨勢科技在 CLOUDSEC 2017 活動上，以數場議程揭示了這些新型態信息安全危機，也用現場攤位的形式，以專人解說且用 VR 設備讓與會者體驗新型態的被駭情境，提出針對 IoT 設備的多層面防護方案。如果你公司的物聯網產品不設防，請向趨勢科技尋求協助，更重要的，還是要具備資訊安全意識啰。

（首途來源：科技新報攝）

如需獲取更多資訊，請關注微信公眾賬號：Technews科技新報

維基媒體協會理事、開源碼軟體創作者、音樂人，關心開放原碼軟硬體的發展，以及在創作上的應用。

未經許可，任何媒體、網站或個人不得複製、轉載、或以其他方式使用本網站的內容，違者必究。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！