一般来说，物联网设备是连接到互联网的对象。这些东西现在随处可见。Wi-Fi路由器、智能电视、智能锁和在线可访问冰箱都是我们身边物联网设备的例子。

物联网安全挑战

物联网在2016年开始失控。臭名昭著的Mirai僵尸网络被用来发起迄今为止最强大的DDoS攻击之一。这场网络攻击产生了每秒1tb的带宽，并将其推向了大型DNS和电子邮件提供商Dyn，以及Airbnb和Reddit等流行服务。这起事件引人注目，因为它是第一个利用物联网设备进行恶意攻击的事件。具体来说，大约有15万台被黑客入侵的智能设备充当机器人，并专注于一组预定义的目标。

消费电子行业的固有特点是简单和注重用户体验。制造商对这些原则的承诺很容易理解：他们不愿意通过复杂的控制和产品维护来阻止潜在客户。供应商可能无法建立一个健壮的安全架构，从而使他们的设备成为威胁参与者的一个低挂果实。这是易用性和安全性之间有争议的权衡。

物联网安全漏洞

弱登录凭据

为了追求用户界面的终极简洁性，制造商可能会将"更改密码"选项挡在客户的视线之外。这就解释了为什么这么多用户坚持使用默认用户名和密码。如果每个物联网设备都有一个强大的、难以猜测的密码，上述Mirai事件可能就不会发生。

固件更新不好

一些物联网作者甚至没有为他们的设备固件推出更新或安全补丁。因此，如果存在安全漏洞，而供应商没有修补，那么您几乎无法采取任何措施来防止黑客攻击。

缺少加密

有许多物联网设备不使用加密来保护它们与C2服务器交换的数据。这可能导致用户的个人身份信息被盗。有时，验证详细信息以明文形式从设备发送到控制服务器。在这种情况下，中间人攻击将产生不利后果。

权限过多

某些物联网设备请求的权限超过了实际需要的权限。例如，允许这些聪明的东西自己购买商品会耗尽你的信用卡余额。在这种背景下，人们想到的是一个故事，亚马逊回声，一个受欢迎的语音控制的个人助理，根据电视主播的阶段自动订购玩具娃娃屋。总之，一个物联网设备拥有的权限越多，它的漏洞就越多。

隐私风险

物联网设备存储了大量的用户信息。如果犯罪者破坏了你的一个智能设备，他们就可以访问它存储的你的个人数据。在购买连接互联网的设备之前，一定要检查它保存了哪些信息。不要使用智能水壶之类的东西来存储你的位置信息。

物联网攻击向量

利用漏洞

任何软件都有漏洞，即使是拥有巨大资源的国际公司也不会产生完美的代码。网络罪犯可以利用软件漏洞对物联网设备进行攻击。最常见的方法包括：

代码注入。这一点是不言自明的：攻击者利用固件中的安全漏洞注入永久代码并控制设备。

缓冲区溢出。当智能设备试图在其临时存储器中存储多余的数据时，这些多余的数据可能会膨胀内存空间的其他部分并覆盖它们。如果此数据包含病毒，返利优惠券，则会影响整个固件。

跨站点脚本。当设备与基于web的接口通信时，此技术适用。如果网页中嵌入了恶意代码，很可能会污染连接的设备。

恶意软件攻击

针对物联网对象的攻击并不局限于破坏登录信息，尽管这些都是目前最普遍的困境。网络骗子的一个日益增长的趋势是用勒索软件等恶意程序来折磨智能设备。

这些设备中有很多运行安卓系统，因此常见的安卓恶意软件也会对它们起作用。这简化了威胁行为者的目标。这类恶意软件最主要的攻击目标是智能电视，因为用户经常不小心点击恶意链接或下载诱杀应用程序。

欺骗

犯罪者可以试图将自己的设备伪装成潜在受害者使用的另一个设备。如果后者能够访问无线网络，那么流氓就会试图欺骗路由器，使其也获得访问权限。如果这个诡计成功了，冒名顶替者设备就可以利用病毒感染网络。

密码攻击

这个载体可以分解为暴力攻击和字典攻击。两者都是通过自动输入大量用户名和密码组合来尝试和猜测目标设备的登录凭据。不幸的是，很少有人使用强密码，因此这些入侵非常有效。

理想情况下，固件应该限制失败的登录尝试次数。可惜的是，并不是所有的制造商都为他们的设备配备了这一关键功能。另外，千万不要保留访问物联网设备的默认用户名和密码。

僵尸网络