互聯(lián)網(wǎng)的使用過程中也會遇到很多安全問題，這些安全問題物聯(lián)網(wǎng)也會面臨。而除此之外，物聯(lián)網(wǎng)本身和物品信息相連的特性，在為大家?guī)砹吮憷耐瑫r，也帶來了物聯(lián)網(wǎng)的特有安全隱患。

　　物聯(lián)網(wǎng)的安全問題

　　1.安全性能引爭論

　　當產(chǎn)品與工具進行連接時，安全性就受到了威脅。傳統(tǒng)的安全手段給開發(fā)者和使用者留下了不好的印象，同時一些過時的做法也無法滿足安全性的要求。舉個例子，開發(fā)者常認為，藍牙配對對消費者來說是具有挑戰(zhàn)性的，從2004年起，配對技術上的巨大變化、配對規(guī)范的更新不僅使設備與設備的連接過程變得容易，許多的安全特性，例如加密、信任、數(shù)據(jù)的完整性、用戶隱私也被保護得更好。基于用戶需求和對設備的適應度，藍牙為用戶友好、安全連接提供了幾個配對方案以供選擇。

　　最新版本的智能藍牙技術建立在政府級別上，兼容FIPS安全性能，使用AES加密，ECDH加密和最新的低耗安全連接。然而有一些應用并不需要ECDH密鑰生成或128位AES加密，藍牙工具使得開發(fā)者可以根據(jù)自己所希望的加密程度來進行設計。

　　2.缺乏方法普及

　　一個常見的誤解是，信標會追蹤人們或者用戶，事實上任何信標要完成的動作只是發(fā)送一個實時信號。一款智能設備上的應用能夠通過在進行用戶進程訪問時設備是否接收到一個消息來判定訪問是否成功，當用戶下載和激活應用時，與這個信息的唯一連接消息發(fā)出。信標本身不做任何的數(shù)據(jù)收集。

　　明確的相互作用原理和用戶控制設備安全性的方法可迅速消除他們對安全性的恐懼和誤解。例如，藍牙的配對不僅僅是建立設備的連接，更是一種讓用戶去自主控制其設備安全性的模式。

　　3.忽略用戶權限

　　給用戶提供一種輕松、清晰的權限去管理他們設備的安全性，讓他們相信設備與設備之間的信息交流是安全的。打個比方，我們經(jīng)常使用的APP中有時會用到位置信息，開發(fā)者要做到的是，讓用戶自己去決定哪一款應用可以使用位置信息，哪一款不可以。當設計下一款智能產(chǎn)品時，開發(fā)者應該注重改善用戶的權限管理能力。

　　在版本4.2中有一個新功能，這項功能使得****連接藍牙后在未經(jīng)允許時很難追蹤到設備信息。這項功能使得廣告包里的MAC地址被替換為隨機值，這些值的變化由制造商確定。

　　4.功能性與安全性失衡

　　在任何情況下，開發(fā)者必須評估該設備的安全性要求，在許多情況下，附加的安全性能會排除一些連接類型，這樣便會限制設備的功能完整性。例如，計步器和智能鎖的安全需求并不相同，消費者購買一個計步器去測量步數(shù)，由于用戶個人的身份信息不會與之相關太多，那么這些有關步數(shù)的數(shù)據(jù)將不會被過分保護，但是對于智能鎖來說則不然，安全性自然要比其功能更重要，這也就要求設計者們在注重安全性的同時，盡量完善設備的功能。

　　物聯(lián)網(wǎng)可能帶來的安全威脅

　　以下是現(xiàn)階段企業(yè)和消費者最可能面臨的物聯(lián)網(wǎng)安全威脅

　　1. 僵尸網(wǎng)絡和DDoS攻擊

　　許多人在2016年9月聽說Mirai僵尸網(wǎng)絡時才首次意識到物聯(lián)網(wǎng)安全威脅。據(jù)一些人估計，Mirai感染了約250萬個物聯(lián)網(wǎng)設備，包括打印機、路由器和聯(lián)網(wǎng)攝像頭。僵尸網(wǎng)絡的創(chuàng)建者用它來發(fā)動分布式拒絕服務(DDoS)攻擊，包括攻擊網(wǎng)絡安全博客KrebsonSecurity。實際上，攻擊者利用被Mirai感染的所有設備，企圖同時連接到目標網(wǎng)站，希望搞垮服務器，防止任何人訪問網(wǎng)站。

　　自Mirai首次見諸媒體以來，攻擊者已發(fā)動了其他物聯(lián)網(wǎng)僵尸網(wǎng)絡攻擊，包括Reaper和Hajime。專家表示，未來可能會有更多的此類攻擊。

　　2. 遠程拍錄

　　黑客有可能在主人毫不知情的情況下，黑入物聯(lián)網(wǎng)設備，拍錄主人的活動，公眾知道這一點還要感謝中央情報局(CIA)，而不是感謝黑客。維基解密網(wǎng)站披露的文件表明，這個情報機構早就知道物聯(lián)網(wǎng)設備的眾多零日攻擊，但沒有透露這些漏洞，原因是希望利用這些漏洞秘密錄下會揭露美國敵人的活動的對話。除了Android和iOS智能手機的漏洞外，文件還提到了智能電視的漏洞。很顯然，犯罪分子也可能會利用這些漏洞實施不法勾當。

　　3. 垃圾郵件

　　2014年1月發(fā)生了有史以來已知針對物聯(lián)網(wǎng)設備的一起攻擊，攻陷了10多萬個聯(lián)網(wǎng)設備，包括電視機、路由器和至少一臺智能電冰箱，每天發(fā)送30萬封垃圾郵件。攻擊者從任何一個設備發(fā)送的消息也就10條，因而很難阻止或查明攻擊源頭。

　　這起早期的攻擊絕非最后一起。由于Linux.ProxyM物聯(lián)網(wǎng)僵尸網(wǎng)絡，去年秋天物聯(lián)網(wǎng)垃圾郵件攻擊繼續(xù)肆虐。

　　4. APT

　　近年來，高級持續(xù)性威脅(APT)已經(jīng)成為安全專業(yè)人員關注的一大問題。APT的背后是一群本領高超的攻擊者，比如國家或企業(yè)，它們發(fā)動復雜的網(wǎng)絡攻擊，難以預防或對付。比如說，摧毀伊朗核離心機的Stuxnet蠕蟲和2014年索尼影業(yè)黑客事件就歸咎于敵對國家。

　　隨著更多的關鍵基礎設施接入互聯(lián)網(wǎng)，許多專家警告，APT可能會對電網(wǎng)、工業(yè)控制系統(tǒng)或其他聯(lián)網(wǎng)系統(tǒng)發(fā)起物聯(lián)網(wǎng)攻擊。有人甚至警告，恐怖分子可能會發(fā)動使全球經(jīng)濟陷于癱瘓的物聯(lián)網(wǎng)攻擊。

　　5. 勒索軟件

　　勒索軟件在家用PC和企業(yè)網(wǎng)絡上已變得非常普遍。現(xiàn)在專家表示，勒索軟件攻擊者開始盯上智能設備只是個時間問題。安全研究人員已經(jīng)演示了能夠將勒索軟件安裝到智能恒溫器上。比如說，他們可以將溫度調高到95度，拒絕調回到正常溫度，除非受害者同意支付用比特幣支付的贖金。他們還能夠對聯(lián)網(wǎng)的車庫門、車輛甚至家電發(fā)動類似的攻擊。早上你肯付多少贖金來解鎖自己的智能咖啡壺?

　　6. 數(shù)據(jù)竊取

　　獲取敏感數(shù)據(jù)仍然是網(wǎng)絡攻擊的主要目標之一，比如客戶名稱、信用卡號碼、社會保障號碼及其他個人身份信息。據(jù)波耐蒙研究所聲稱，數(shù)據(jù)泄露事件讓公司平均損失362萬美元，相當于每條被竊取的記錄141美元。在想方設法入侵企業(yè)網(wǎng)絡或家庭網(wǎng)絡的犯罪分子看來，物聯(lián)網(wǎng)設備就是一條全新的攻擊途徑。比如說，如果一個保護不當?shù)奈锫?lián)網(wǎng)設備或傳感器連接到企業(yè)網(wǎng)絡，這可能為攻擊者提供了進入網(wǎng)絡的新方法，有可能找到他們覬覦的寶貴數(shù)據(jù)。

　　7. 入侵住宅

　　隨著智能鎖和智能車庫開門器變得更常見，網(wǎng)絡犯罪分子也更有可能成為現(xiàn)實世界中的小偷。面對手頭擁有高級工具和軟件的犯罪分子，如果沒有得到妥善的保護，家庭系統(tǒng)可能岌岌可危。令人不安的是，安全研究人員已證明，很容易黑入幾家不同廠商的智能鎖，智能車庫門的安全性似乎并沒有大大提高。

　　8. 偷偷與孩子溝通

　　物聯(lián)網(wǎng)安全最令人不安的故事之一就是黑入嬰兒監(jiān)視器。一對夫婦曾發(fā)現(xiàn)，一個陌生人不僅用他們的嬰兒監(jiān)視器窺視其三歲大的兒子，還一直通過監(jiān)視器與孩子說話。這位母親曾聽到陌生的聲音說：“醒來，小男孩，爸爸在找你”，孩子說他嚇壞了，因為有人在晚上通過監(jiān)視器與他說話。

　　隨著更多的兒童設備和玩具連接到互聯(lián)網(wǎng)，這種可怕的情景可能會變得更司空見慣。

　　9. 遙控車輛

　　由于車輛變得更智能，并連接到互聯(lián)網(wǎng)，它們也容易受到攻擊。黑客已證明，他們可以控制吉普車，將空調設到最高數(shù)值、換廣播電臺、開啟雨刷器，最終讓車輛停下來。這個新聞導致車企召回了140萬輛車，但是這個漏洞背后的白帽研究人員表示，他們發(fā)現(xiàn)了另外的安全漏洞，克萊斯勒為召回車輛所打的補丁堵不了這些漏洞。雖然專家表示，汽車業(yè)在確保車輛安全方面有所改進，但幾乎可以肯定的是，攻擊者會在聯(lián)網(wǎng)汽車中發(fā)現(xiàn)新的漏洞。

　　10. 人體攻擊

　　有時候物聯(lián)網(wǎng)不僅僅包含物件，還包括聯(lián)網(wǎng)醫(yī)療設備植入到體內的人。電視連續(xù)劇《Homeland》的劇集圍繞利用植入體內的醫(yī)療設備搞暗殺活動展開，美國前副總統(tǒng)Dick Cheney對于這種場景深為擔憂，于是他關閉了植入其體內的除顫器的無線功能。這種類型的攻擊在現(xiàn)實生活中還沒有發(fā)生，但隨著更多的醫(yī)療設備成為物聯(lián)網(wǎng)的一部分，這種可能性仍然存在。

　　物聯(lián)網(wǎng)的相關產(chǎn)品在生產(chǎn)時，也要充分考慮到用戶的安全性問題，最大程度的保護用戶的信息。而在用戶數(shù)據(jù)具有商業(yè)價值的今天，保護用戶信息也是企業(yè)要遵守的基本道德。