智慧家庭安全性：安全性與弱點

本文概述一系列以促成 IoT 的技術為主題而編寫的五篇文章中的一篇。如需查看全文，請至 wevolver.com。

智慧家庭的安全弱點

全球的智慧家庭預計到明年將增加至 4.782 億戶 (1)。智慧家庭技術有個最大的吸引力在於，使用網際網路連線裝置從遠端保護個人住所。雖然智慧家庭安全裝置可以輕鬆防止住所遭竊、受損或發生事故，但智慧家庭裝置也有降低個人資料安全性的風險。

2021 年的一項研究專案顯示，典型的智慧家庭很容易遭受大量資料攻擊。(2) 已回報的智慧家庭攻擊事件包括，駭客從遠端控制智慧燈具和智慧電視 (3)、解鎖 IoT 功能的房門，以及從遠端開啟智慧攝影機，並開始串流視訊。(4) 有一次，美國密爾瓦基的一戶人家睡醒時驚覺遭受攻擊，因為恆溫器的溫度被設定至 30°C 以上 (5)。

連網家庭有兩大缺陷，包括脆弱的區域網路和安全不足的 IoT 裝置，因此容易遭受這些攻擊。

脆弱的區域網路

Wi-Fi 若採用預設或較弱的 SSID 或密碼，以及脆弱的加密協定，就容易遭受攻擊。入侵者可透過預設的憑證資訊，毫不費力地存取路由器。高強度的 Wi-Fi 密碼，則會迫使駭客在嘗試滲透網路時，瞄準難度更大的閘道器。

側錄和加密破解是駭客入侵網路最常見的方式。側錄是指，駭客會挾持裝置和路由器之間傳輸的任何資料封包，並將封包傳輸至其所屬的裝置，然後進行暴力破解。整個過程通常只要幾分鐘。

大多數 Wi-Fi 路由器採用有線等效保密 (WEP)、Wi-Fi 安全保護存取 (WPA) 或 WPA2 安全協定。WEP 是一種 RC4 串流加密法。WEP 的弱點是初始化向量很小 (24 位元 IV)，導致其被重複使用。這種重複性導致其容易遭受攻擊。

較安全的選擇是 WPA 和 WPA2，但研究人員發現其具有一個嚴重缺陷：KRACK，也就是 WPA 中的金鑰重新安裝攻擊 (Key Reinstallation Attack)。 中間人攻擊可以利用此缺陷，竊取透過 WPA 加密 Wi-Fi 連線所傳送的敏感資料。攻擊者能夠竊聽流量並取得密碼、銀行憑證及信用卡資訊。

安全性薄弱的 IoT 裝置

研究人員共測試各大品牌的 16 款常用智慧家庭裝置，發現有 54 個安全性弱點，會讓使用者暴露在駭客攻擊中。潛在的攻擊類型從安全系統停用到個人資料遭竊都有。(6) 據估計，80% 的 IoT 裝置容易遭受多種攻擊。(7)

智慧家庭裝置容易受攻擊，是因為其屬於特殊用途裝置。IoT 廠商無法提供必要的特殊用途安全解決方案。此外，智慧家庭裝置常執行小型作業系統，如 INTEGRITY、Contiki、FreeRTOS 及 VxWorks 等，其安全解決方案不像 Windows 或 Linux 架構系統那麼健全。這些常用裝置在部署之後便無法升級，也就無法更新其安全功能，以抵擋日益進化的網路攻擊。

智慧家庭裝置最常遭遇的攻擊

智慧家庭裝置面對的攻擊方法五花八門，視裝置及通訊協定而定。常見的攻擊方法包括：

• 資料外洩與身份盜用

• 裝置挾持與欺騙

• 分散式阻斷服務 (DDoS)

• 永久性阻斷服務 (Phlashing)

購入後確保智慧家庭裝置的安全

雖然某些智慧家庭裝置內建安全屬性，但要具備抵禦攻擊的能力，裝置持有者必須遵守一些基本防護措施。

• 高強度密碼

• 訪客網路

• 雙因素驗證

• 更新韌體

• 避開雲端，使用本地儲存

• 最高等級加密

• 防火牆

IoT 裝置開發人員的職責：

IoT 裝置安全性的責任，主要落在 IoT 裝置開發人員身上。他們必須採取必要措施來確保裝置安全。可採取的措施包括：

• 在 IoT 裝置內整合可編程硬體信任根 (HRoT)。HRoT 是電子裝置安全運作的基礎，尤其是系統單晶片 (SoC)。其含有加密功能用的金鑰，可促成安全的啟動過程。可編程的 HRoT 可以不斷更新，以便因應不斷增加的威脅。此技術會執行全新的加密演算法，以保護應用程式，因應不斷進化的攻擊。

• 結合邊緣運算：處理從靠近資料來源的邊緣裝置所收集到的資料。資料並未行經安全性薄弱的網路，再傳至遠端伺服器，因此能降低外洩風險。

• 設計空中更新功能：製造具備有效空中 (OTA) 更新能力的裝置。許多消費者的裝置位於遠端位置，因此只會不定期更新。開發人員必須結合健全的 OTA 更新策略，以便有效且定期地更新。

結論

網際網路連線裝置在本質上就容易遭受攻擊。由於智慧家庭裝置的功能不斷增加，且越來越廣泛地安裝在家庭中，瞭解個人資料的安全風險，以及如何降低風險相當重要。此外，IoT 工程師還必須負責確保未來的智慧家庭，必須在核心功能中就內建安全能力，而非事後添加。

如需閱覽本文章的完整版本，請至 wevolver.com.。

參考資料

1.[線上]。出處：https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world。

2.Laughlin A. which.co.uk.[線上]; 2021.出處：https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/。

3.Whitney L. pcmag.com.[線上]; 2020.出處：https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you。

4.Vigdor N. New York Times.[線上]; 2019.出處：https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html。

5.Sears A. FOX6 NEWS.[線上]; 2019.出處：https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes。

6.Broom D. weforum.org.[線上]; 2021.出處：https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/。

7.Press R. rambus.com.[線上]; 2020.出處：https://www.rambus.com/iot/smart-home/。