2016年3月2日

IOT 資安-路由器

華碩路由器預設的帳號和密碼都是非常容易猜到的admin,
加上沒有要求使用者更改預設密碼,
也使得華碩路由器一旦連網就門戶洞開。
再者,駭客也可以利用一些常見的網路漏洞,
入侵華碩Web介面的控制平臺獲得控制權,
駭客就可以做到遠端關閉相關的安全措施。

駭客掌握一個特定的IP位址時,也可以繞過AiCloud的安全授權機制,
在這個瀏覽和資料傳輸的過程中,並沒有任何加密措施,
所有的登錄資訊都是明碼傳輸,使得AiCloud很容易遭受到中間人攻擊。

路由器預設將使用者的私人USB隨身碟,只要有人知道路由器的IP位址,
就形同將使用者隱私開放給網路上的任何人。
甚至於,華碩公司只要求使用者設立安全性相對薄弱的帳號及密碼(預設帳號密碼為Family),
所有資料傳輸也都是明碼傳輸。


一定要更改路由器預設的帳號及密碼,不論是否是華碩路由器產品,這都是使用者應該做的第一個動作。

再者,對於使用者的權限設定,絕對不能設定為「無限」的使用者權限,
除了管理員權限外,一般的使用者建議權限都設為「有限」以避免使用者權限過大,
導致不必要的資安風險。

第三,華碩路由器提供獨特的雲端儲存功能,使用者也必須留意,一旦有任何資料共享時,
都必須謹慎確認可以資料共享的使用者,究竟具有多少權限,避免無限制的共享功能,
往往是相對安全的。

最後,使用者必須定期更新產品的安全性,註冊產品提供的安全更新窗口,
定期更新產品軟體和硬體漏洞,而華碩路由器上原本不具備更新檢查功能的按鍵,
華碩公司也必須立即透過軟體更新功能,讓使用者可以確認該產品,
是否已經更新到最新版的修補程式,以確保產品安全性。


6點建議,希望有助於物聯網企業可以做到安全連網。
第一點,就是要做到安全啟動(Start with security)
第二點,透過使用者的眼睛設計產品。
第三點,使用者就不用花更多心血是了解什麼才是安全性的操作。
第四點,關注市面上各種安全警告
第五點,隨時讓使用者掌握漏洞修補的進度與狀況
最後一點,可以借鏡美國聯邦貿易委員會公布的案件,從中學得經驗與教訓

沒有留言:

搜尋

標籤

總網頁瀏覽量