科普IOT安全



产品经理可将本篇文章当做科普贴,了解产品在安全方面可能会产品哪些问题,以及设计时避免常见问题。注:建议可以先看一下这篇不错的系列文章“《IoT物联网安全wiki》https://www.yuque.com/tidesec/iot”,对物联网安全有一定了解概念。




科普IOT安全


科普IOT安全

一、物联网安全是什么 

科普IOT安全


随着越来越多的已连接设备加入IoT生态系统,安全性成为了物联网技术的最大关注点,大多数技术安全问题类似于常规服务器,工作站和智能手机,可能存在弱认证,忘记更改默认凭据,设备之间发送未加密消息,SQL注入等问题。


但是,许多物联网设备在可用的计算能力上存在严重的操作限制,这些限制通常让设备无法直接使用基本的安全措施,例如防火墙或使用强大的密码系统来加密。对于IOT安全,从大类可以分为:硬件本身、固件、通讯、服务器四个层面。


科普IOT安全

二、硬件产品常见的安全漏洞有哪些?

科普IOT安全


  • 有线、无线远程升级通道未加密,下载的固件可能是中间人篡改后的恶意固件;

  • 固件下载后未校验md5值是否一致;


  • 串口、ssh默认无密码登录,或者弱密码登录;

    登录用户默认root;

  • web服务弱口令;

  • MQTT、FTP等通信登录用户名暴漏、弱口令


  • web配置文件任意人访问

  • 登录界面绕过,任意执行管理端功能

  • 系统任意文件访问、恶意文件上传

  • SQL注入,数据泄露

  • FTP、RTSP摄像头数据流、smb文件共享等服务端口未关闭


  • 信号内容未加密明文传输。

  • 红外、433M无线信号、蓝牙等控制信号,存在录制重放漏洞;

  • 蓝牙未认证任意连接;

  • GPS定位恶意基站模拟、GPRS连接到伪基站发生中间人数据泄露;

  • wifi通信连接弱密码或无认证任意连接


  • ID卡任意复制;

  • RFID ic卡内部数据块未使用密钥加密或者采用默认密钥加密导致数据被破解;

    卡片复制;

  • 串口调试未关闭,任意连接查看调试信息;

  • 通过逻辑分析仪,嗅探总线上的数据;

  • 固件程序未加密加固;

    逆向破解内部逻辑和加密算法;

  • 智能门锁特斯拉电圈高压攻击重启;



科普IOT安全

三、如何防范

科普IOT安全


  • 原则一:

    数据通道采用https等加密方式进行传输(加密元素涵盖时间戳、滚动码,防止信号重放攻击)

  • 原则二:

    最小权限设置、关闭root账号、强度高的密码;

  • 原则三:

    设备上市后,关闭不用的服务端口、应用程序调试信息及串口调试信息;

  • 原则四:

    固件加密加固、重要配置文件加密;

  • 原则五:

    上线前软硬件安全测试及升级方案;



科普IOT安全

四、参考内容

科普IOT安全


  • 《IoT安全测试指北》https://www.freebuf.com/articles/ics-articles/247718.html

  • 《白话物联网安全(一):

    什么是物联网的信息安全》https://www.freebuf.com/articles/terminal/191098.html

  • 《浅谈IoT安全》https://zhuanlan.zhihu.com/p/35411393

  • 《IoT: 物联网安全测试经验总结》https://www.pianshen.com/article/98081282123/

  • 《神器分享:

    物联网安全测试工具包》https://www.freebuf.com/sectool/174234.html

  • 《IOT渗透测试(一)》https://zhuanlan.zhihu.com/p/50388015

  • 《IoT测试---我们需要测什么?

    》https://zhuanlan.zhihu.com/p/56368136

  • 《IoT安全系列-如何发现攻击面并进行测试》https://www.anquanke.com/post/id/84762

  • 《微软:

    IoT 安全性 - 概述》https://azure.microsoft.com/zh-cn/overview/internet-of-things-iot/iot-security-cybersecurity/

  • 《IBM:

    IoT 十大安全挑战》https://developer.ibm.com/zh/technologies/iot/articles/iot-top-10-iot-security-challenges/

  • 《从FIT 2019看物联网(IoT)安全》https://www.freebuf.com/company-information/194555.html


  • 《红外信号重放攻击》https://www.freebuf.com/geek/260370.html

  • 《特斯拉线圈秒开智能门锁,你家智能门锁还安全吗?

    》https://baijiahao.baidu.com/s?id=1607492558181328939&wfr=spider&for=pc


  • 《FREEBUF》https://www.freebuf.com/

  • 《TOOLS》https://www.t00ls.net/

  • 《Shun's Blog》https://www.shungg.cn/

  • 《华盟网》https://www.77169.net/



本文作者:刘晓东

发 布 于  :智能硬件产品汪

网       址:www.aihpm.com

点击“阅读原文”即可跳转至智能硬件产品汪网站



往期推荐

2021智能硬件产品经理现状调研

产品认证要求通识

硬件方案设计与评审





   科普IOT安全  


欢迎更多的同学加入我们 “ 智能硬件产品汪 ”  社群

在这里你可以和千百位硬件产品大佬交流

也可以获得丰富的干货资料


请关注公众号“ 贾明华 ”

点击“入群”加入我们。期待与大家一块交流学习
一个人可以走的很快,一群人可以走的更远


科普IOT安全

本篇文章来源于微信公众号: 贾明华

原创文章,作者:贾明华,如若转载,请注明出处:http://www.aihpm.com/?p=746

(0)
上一篇 2021年3月26日 下午1:40
下一篇 2021年3月30日 上午9:05

相关推荐

  • 硬件总体设计模板

    分享一个硬件总体设计模板给大家,网传是华为的模板。内容过多,详情请见:https://minghua.feishu.cn/docs/doccnX87sJeuLUaWFUrI3Qcj...

    2021年1月18日
    03.3K0
  • 硬件产品经理需要了解技术吗?

    这是“ AIPM ”系列的第 08 篇文章 关于 AI 硬件产品经理需不需要懂(了解)技术的简单总结。 经常看到一些关于产品经理需不需要懂技术的提问,因此结合自己的经验聊几句。 先...

    2020年8月30日
    12.0K0
  • 前美团COO干嘉伟:怎样定目标,是一个关乎生死的问题

    △ 是新朋友吗?记得先点笔记侠关注我哦~ 内容来源:本文内容整合自干嘉伟多次公开的演讲、访谈和对话。 轮值主编 | 智勇 责编&值班编辑&nb...

    2022年6月2日
    04.7K0
  • 《智能硬件产品经理调研报告》2022年

    2022年已成过往,这是不平凡的一年,疫情给了大家太多磨炼,也让生活和工作发生了巨变。好在全新的开始已经到来,让我们弃旧从新,在新的一年更好的享受生活,更好的成长工作。 这次调研,...

    2023年2月10日
    04.0K0
  • 产品危局与生存挑战

    红楼里的刘姥姥道:“嗳哟哟!可是说的,‘侯门深似海’,我是个什么东西,他家人又不认得我,我去了也是白去的。”我不知道侯门的深浅,但回顾几年的产品生涯,我大概知道一脚踏进来以后,的确...

    产品思维 2020年8月13日
    02.1K0
  • 定价逻辑,如何给你的产品定价

    对于产品应该如何定价,我相信是每个产品经理在后期都会遇到的问题。以前做产品定价的时,似乎稀里糊涂的就定了,也没有太多的方法和逻辑。 最近,我在研究应该如何科学的给产品进行定价,所以...

    2022年4月6日
    04.7K0
  • 产品规划之用户通用需求

    作者:Eric 产品存在的意义,就是为了满足用户需求的。那么所谓用户需求,是什么意思? 用户需求描述的是用户的目标,希望产品能够完成的任务或提供的价值。。其中的产品为用户提供的收益...

    2020年8月11日
    02.5K0
  • 硬件产品需求文档的编写思路和方向

    在工作中我们需要通过文档与团队进行交流记录,包括设计团队、研发团队、销售团队、技术支持与客服团队等。每个团队需要的文档是不同的,因此在产品的生命周期中产品经理需要编写各种文档用于和...

    2020年7月25日
    12.8K0
  • 固件/软件方案设计通识

    一、固件是什么? 固件是一种嵌入在硬件设备中的软件,通常通过下载器下载到设备中,固件的功能应该包括系统(如果有的话)、驱动、应用的具体实现。 二、固件方案设计 硬件技术经理在拿到产...

    2021年4月7日
    13.1K0
  • 产品认证要求通识

         前言    强制性产品认证制度,是各国政府为保护广大消费者人身和动植物生命安全,保护环境、保护国家安全,依照法律法规实施的一种产品合格评定制度,它要求产品必须符...

    2021年3月11日
    12.8K0

发表回复

登录后才能评论