OWASP_IoT_Top10 物联网10大安全问题

mind

1.脆弱、可猜测或硬编码的密码

使用容易被破解的、公开的或不可更改的凭证，包括固件或客户端软件中的后门，允许未经授权访问部署的系统。

2.不安全的网络服务

在设备本身上运行的不需要的或不安全的网络服务，特别是那些暴露在互联网上的服务，会损害信息的保密性、完整性/真实性或可用性，或允许未经授权的远程控制...

3.不安全的生态系统接口

设备之外的生态系统中不安全的网络、后端API、云或移动接口，使设备或其相关组件受到损害。常见的问题包括缺乏认证/授权，缺乏或脆弱的加密，以及缺乏输入和输出过滤。

4.缺乏安全的更新机制

缺乏安全地更新设备的能力。这包括缺乏设备上的固件验证，缺乏安全交付（在传输过程中未加密），缺乏防回滚机制，以及缺乏更新导致的安全变化通知。

5.使用不安全或过时的组件

使用已过时或不安全的软件组件/库，可能使设备受到损害。这包括不安全的操作系统平台定制，以及使用来自受到损害的供应链的第三方软件或硬件组件。

6.隐私保护不充分

用户存储在设备或生态系统中的个人信息被不安全地、不适当地或未经许可地使用。

7.不安全的数据传输和存储

在数据静止、数据传输或数据处理期间，生态系统内任何地方的敏感数据缺乏加密或访问控制。

8.缺乏设备管理

对部署在生产环境中的设备缺乏安全支持，设备管理包括资产管理、更新管理、安全地停止使用、系统监控和响应能力。

9.不安全的默认设置

设备或系统出厂时有不安全的默认设置，或缺乏通过限制操作人员修改配置使系统更安全的能力。

10.缺乏物理加固措施

缺乏物理加固措施，使潜在的攻击者获得有助于未来的远程攻击或对设备进行本地控制的敏感信息。

from: https://zhuanlan.zhihu.com/p/486674386