過去談到信息安全事件，多數(shù)人心中浮起的第一個想法，大概都是某個企業(yè)單位或政府機關(guān)遭到黑客入侵，但是隨著全球可連網(wǎng)設(shè)備暴增，信息安全事件早非商業(yè)組織專屬，一般消費者也早陷入個人資料被竊的恐慌中。如2014年底便曾爆發(fā)黑客組織大量竊取道路監(jiān)控設(shè)備的中影片，并且通過架設(shè)網(wǎng)站方式散播，英國信息委員會辦公室當(dāng)時預(yù)估外流影片數(shù)量，可能達到7萬則以上，凸顯出在物聯(lián)網(wǎng)蓬勃發(fā)展的背后，正隱藏著容易被人忽略的安全危機。

早在2014年月，惠普科技便曾發(fā)表一份針對物聯(lián)網(wǎng)安全問題的研究報告，文中指出每個連網(wǎng)設(shè)備平均約有25個信息安全漏洞，而最大問題在于未加密通信傳輸與身份認證不足，以致于造成使用者個人資料容易泄漏。美國聯(lián)邦貿(mào)易委員會亦在2015年1月發(fā)表物聯(lián)網(wǎng)安全建議報告，指出可上網(wǎng)智能設(shè)備因隱私和安全設(shè)計上的缺陷，讓黑客能在入侵物聯(lián)網(wǎng)后，轉(zhuǎn)而攻擊其它更具商業(yè)價值的系統(tǒng)。

Google Play平臺不夠嚴謹 惡意App 200萬以上

過去黑客組織攻擊商業(yè)組織是為獲取經(jīng)濟利益，襲擊政府機構(gòu)則是要達成特定政治目的，轉(zhuǎn)而攻擊消費者生活息息相關(guān)的物聯(lián)網(wǎng)，除想要造成民眾恐慌之外，更是看準全球可連網(wǎng)設(shè)備在2015年已達50億個，一旦突破物聯(lián)網(wǎng)防御機制，能為日后發(fā)動大規(guī)模攻擊作準備，以便能夠取得更龐大利潤?，F(xiàn)今物聯(lián)網(wǎng)架構(gòu)存在許多難以解決的漏洞，首先是可連網(wǎng)設(shè)備多半采用Linux、iOS、Android等行動操作系統(tǒng)，因與個人計算機的Windows平臺不同，在無法沿用既有相同信息安全軟件的前提下，自然很難防堵客組織發(fā)動的新型態(tài)攻擊手法。

其次，可連網(wǎng)設(shè)備運算能力并不高，特別是部分用于智能電網(wǎng)、環(huán)境監(jiān)測領(lǐng)域之中的設(shè)備，僅能提供極為簡單的應(yīng)用服務(wù)。在此狀況下，根本不可能安裝任何防御軟件，頂多只能仰賴芯片本身內(nèi)建的加密機制，保護重要數(shù)據(jù)的安全，一旦廠商沒有修改產(chǎn)品默認的密碼，便很容易被黑客組織攻破。以黑客組織入侵全球網(wǎng)絡(luò)攝影機為例，信息安全顧問介入調(diào)查后發(fā)現(xiàn)，受害消費者多數(shù)都是沿用系統(tǒng)默認密碼，如1234、password等等，才會讓黑客不費吹灰之力，即可輕松取得各種數(shù)據(jù)與影像。

最后一項問題，則因Google Play平臺采取開放政策，在欠缺完整功能審核與測試機制下，黑客組織可以上傳內(nèi)建惡意軟件的山寨或惡意App，當(dāng)消費者不小心下載并使用后，便能夠在消費者無法察覺到任何異狀下，私下開始將個人資料傳送到惡意中繼站，同時悄悄取得手機的控制權(quán)。如英國BBC網(wǎng)站在2016年初遭到600Gb流量的DDoS攻擊，技術(shù)顧問以數(shù)字鑒識技術(shù)進行分析后發(fā)現(xiàn)，許多攻擊流量居然源自于移動或手持設(shè)備，證明許多設(shè)備早被黑客組織控制。

事實上，根據(jù)各家信息安全公司公布的研究報告顯示，市面上針對移動設(shè)備設(shè)計的惡意軟件數(shù)量，光是在為Android平臺上的病毒數(shù)量已突破達200萬種以上，即便是被視為較安全的iOS平臺，近來也有陸續(xù)爆發(fā)被黑客入侵，為物聯(lián)網(wǎng)日后發(fā)展帶來不少隱憂。

三大組件相互認證 才能減少入侵行為

商機可望達到兆億美元以上的物聯(lián)網(wǎng)，是由終端設(shè)備、應(yīng)用軟件、云端平臺所組成的架構(gòu)，依照各廠商設(shè)計的不同軟件功能，能有智慧城市、智能家居、車聯(lián)網(wǎng)、智能醫(yī)療、智能電網(wǎng)、能源管理等應(yīng)用。因此，企業(yè)若要保護應(yīng)用服務(wù)的安全，避免自家服務(wù)被黑客組織入侵，勢必得從前述三大面向著手，才能降低信息安全事件發(fā)生的機率。

AWS亞太地區(qū)首席技術(shù)講師Markku Lepisto認為，可連網(wǎng)設(shè)備受限于效能上的限制，幾乎不可能預(yù)安裝防毒或入侵檢測軟件，才會成為黑客組織欲大力攻擊的目標(biāo)。而若要減少信息安全事件發(fā)生，業(yè)者自行開發(fā)的應(yīng)用軟件需具備監(jiān)測設(shè)備安全與否的能力，在確認設(shè)備沒有被黑客入侵后，才依照用戶的身份等級，給予相對應(yīng)的訪問權(quán)限。至于云端平臺本身，則需具備阻擋黑客攻擊的能力，如APT、DDoS等等，才能達到保護用戶數(shù)據(jù)安全的目標(biāo)。

根據(jù)趨勢科技進行的研究調(diào)查報告縣市，盡管黑客組織推陳出新的攻擊手法，確實難以通過單一信息安全設(shè)備阻擋，但造成信息安全事件不斷發(fā)生的主因，在于沒有定期安裝修補程序。所以行動設(shè)備制造商讓提高行動設(shè)備的防護能力，應(yīng)該要隨時關(guān)注CVE(Common Vulnerabilities & Exposures)組織發(fā)布軟件漏洞信息，通過定時更新設(shè)備的軟件版本，積極修復(fù)各種軟件漏洞的方式，自然能減少攻擊事件發(fā)生。

此外，考慮到消費者沒有修改默認密碼，又或者密碼設(shè)定過于簡單，亦是造成數(shù)據(jù)外泄的主要原因，廠商不妨在可連網(wǎng)設(shè)備中，能夠加入提醒修改密碼功能，以及可設(shè)定高強度密碼的機制，也能減少因人為疏忽造成信息安全事件的機率。而增加數(shù)據(jù)加密傳輸?shù)倪x項，同樣可增加黑客取得數(shù)據(jù)的難度，能有效保護商業(yè)機密的安全。

善用原碼檢測服務(wù) 可降低軟件漏洞風(fēng)險

長期觀察App信息安全問題的果核數(shù)字營運長許武先指出，Google Play平臺上惡意App泛濫主因，在于Android系統(tǒng)選擇Java作為開發(fā)語言，在軟件完成開發(fā)后，并不會直接將原始碼編譯成的機械碼，以致于存在易被反編譯的弱點。換句話說，黑客能夠通過逆向工程取得原始碼的方式，找出應(yīng)用程序的漏洞或弱點，再將該App植入惡意軟件之后，重新放上Google Play平臺，誘騙消費者在不知情下載安裝。當(dāng)然，黑客組織亦可直接采取攻破云端主機的模式，直接竊取平臺上的個人資料或商業(yè)機密。

根據(jù)果核數(shù)字的非正式統(tǒng)計，在Google play平臺上的前100大熱門游戲中，約有90個App皆有可被反編譯取得原始碼的弱點。另外，多數(shù)App設(shè)計師不熟悉軟件安全性的問題，導(dǎo)致App存在許多漏洞，自然無法阻擋免黑客組織的攻擊。為避免發(fā)生前述狀況，不少軟件業(yè)者會在App上架前，先委由第三方單位進行原碼檢測，通過自行找出軟件漏洞并且進行修補的方式，減少被黑客組織入侵的機率。

許武先認為，原碼檢測或許可以找出程序代碼中的漏洞，但并不代表開發(fā)人員有能力解決，而且也難保日后不會有新漏洞出現(xiàn)。所以有廠商直接采取可保護App安全的作法，讓App具備防止逆向工程、防止App遭篡改、阻擋偵錯、惡意軟件植入、儲存數(shù)據(jù)加密等功能。如此一來，當(dāng)軟件遭到黑客強力破壞后，App中數(shù)字標(biāo)章便會自動消失，云端應(yīng)用主機便會藉此辨識軟件安全與否，徹底杜絕黑客入侵的可能性。

在云端平臺選擇上，盡管多數(shù)公有云端服務(wù)業(yè)者都有提供基本防護能力，如防火墻等等，但在黑客入侵管道多樣化下，業(yè)者不妨依照應(yīng)用服務(wù)種類，額外租用威脅防護、數(shù)據(jù)加密、身份訪問控制、滲透測試等服務(wù)，通過多種信息安全設(shè)備協(xié)同合作的方式，能夠在發(fā)現(xiàn)惡意軟件入侵的當(dāng)下，立即阻斷相關(guān)連線作業(yè)，有效保護物聯(lián)網(wǎng)環(huán)境的安全。