OWASP IoT Top 10 釋出，來看看物聯網安全的十大坑

“OWASP 物聯網專案”始於2014年，旨在幫助開發人員、製造商、企業和消費者在建立和使用物聯網系統時做出更好的決策。2018年釋出的 OWASP IoT Top 10，說明了在構建、部署或管理物聯網系統時應該規避的十大問題。具體如下：

（1） 弱密碼、可猜測密碼或硬編碼密碼

使用輕易可遭暴力破解的、可公開獲取的或無法更改的憑證，包括韌體或客戶端軟體中允許對已部署系統進行未經授權訪問的後門。

（2） 不安全的網路服務

在裝置本身執行的不必要的或不安全的網路服務，尤其是被暴露在網際網路的、攻陷資訊機密性、完整性/真實性或可用性或允許未授權遠端控制的服務。

（3） 不安全的生態介面

裝置外生態系統中不安全的 web、後端 API、雲或移動介面，導致裝置或相關元件遭攻陷。常見的問題包括缺乏認證/授權、缺乏加密或弱加密以及缺乏輸入和輸出過濾。

（4） 缺乏安全的更新機制

缺乏安全更新裝置的能力，包括缺乏對裝置韌體的驗證、缺乏不安全的交付（未加密的傳輸）、缺乏反回滾機制以及缺乏對更新的安全變更的通知。

（5） 使用不安全或已遭棄用的元件

使用已遭棄用的或不安全的導致裝置遭攻陷的軟體元件/庫，包括作業系統平臺的不安全定製以及使用來自受損供應鏈的第三方軟體或硬體元件。

（6） 隱私保護不充分

不安全地、不當地、或未經授權使用儲存在裝置或生態系統中的使用者個人資訊。

（7） 不安全的資料傳輸和儲存

缺乏對生態系統中任何位置的敏感資料進行加密或訪問控制，包括未使用時、傳輸過程中或處理過程中的敏感資料。

（8） 缺乏裝置管理

缺乏對部署在生產過程中的裝置的安全支援，包括資產管理、更新管理、安全解除、系統監控和響應能力。

（9） 不安全的預設設定

裝置或系統的預設設定不安全或缺乏透過限制操作者修改配置的方式讓系統更加安全的能力。

（10） 缺乏物理加固措施

缺乏物理加固措施，導致潛在攻擊者能夠獲取敏感資訊以便後續進行遠端攻擊或對裝置進行本地控制。