惠普日前發佈的研究指出在七成最常使用的物聯網（IOT）裝置中存在安全漏洞，其中包括密碼的安全性，傳輸加密及用戶存取權限的控管。

隨著物聯網的興起，對連接設備的多樣性需求相對成長。根據Gartner估計，至2020年全球將會有260億的物聯網裝置，物聯網的產品和服務也將產生3000億美元的營業收入，且多數的營收是來自於服務。

在物聯網的需求促使下，帶動製造商積極開發裝置和雲端功能服務與行動應用程式的推出，以搶佔市占率。雖然物聯網設備帶來了便利，卻也開啟了安全威脅的大門，如軟體漏洞、阻斷式攻擊、脆弱的密碼或是跨站漏洞攻擊等。

HP企業安全產品Fortify總經理Mike Armistead表示：「物聯網和無數個裝置及系統連接，這同時也表示有心人士可攻擊的層面隨之增加。」 物聯網裝置的使用趨勢，最重要的是打從一開始就該在這些產品中嵌入安全的功能，以避免用戶陷入極危險的風險之中。

HP Fortify針對最受歡迎的設備包括電視、網路攝影機、家庭恆溫控制器、遠端遙控電源插座、灑水控制器、控制多台設備的集線器、門鎖、家用防盜器，電子磅秤和車庫遙控器等10種具備雲端功能服務及行動應用程式進行遠端控制的物聯網裝置進行測試，測試後發現，所有的測試產品共計有250個漏洞，平均每個裝置有25個安全漏洞。

報告中顯示最常見的安全問題包括：
● 個人隱私：80%的裝置或雲端服務和行動應用程式可能洩漏用戶的姓名、電子郵件地址、居住地址，出生年月日，信用卡和健康訊息等重要的個人隱私。此外，有九成的裝置至少會洩漏上述其中一項個人資料。
● 80%的物聯網裝置及其相關的雲端服務功能和行動應用程式沒有足夠的防護：對於大多數設備沒有要求複雜性或密碼長度的密碼設定，且允許如“1234”這類的簡式密碼。事實上，在惠普產品測試中發現，帳號設定簡式密碼也常被使用在網站或行動應用上。
● 缺乏傳輸加密：70％的物聯網路傳輸並未加密。傳輸加密是至關重要的，因為有許多資料的收集是針對網路上傳輸敏感資料的設備。
● 不安全的網路介面：六成的物聯網裝置使用不安全的網路介面，例如持續不斷的XSS、session管理或以明文方式傳輸憑證等安全問題。70%的雲端服務和行動裝置將存在讓有心人士能透過帳號或密碼重置的功能來測試帳密有效性的危險。
● 缺乏軟體保護：60％的設備進行軟體更新時完全沒有加密的功能設計，甚至部分下載會被攔截安裝在Linux的文件系統上，並加以查看或修改。

物聯網的興起，組織刻不容緩的是做到防範於未然，在漏洞尚未被利用前就做好保護措施。像惠普Fortify解決方案經濟又實惠無需特別的軟體安裝或管理，即能幫助企業快速、準確的檢測軟體的安全，主動消除現有程式系統內危險的的應用程式及系統開發的風險。

如有相關產品需求，請洽惠普科技企業資訊安全產品(HP ESP)代理商懇懋科技02-2748-0099
歡迎加入懇懋粉絲團：https://www.facebook.com/phitech

- 新聞稿有效日期，至2014/09/10為止

上一篇：敬邀參加9/3「求新求變，從新模式新應用看智慧家庭發展新商機」研討會
下一篇：資策會【Python資料探勘實作】