0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

物联网漏洞难防 开放接口也会被黑客盯上

倩倩 来源:中关村在线 2020-02-06 13:44 次阅读

如今,API不仅成为生态系统之间的交互窗口,更是构建混合业务平台的基础。未来79%的物联网流量将通过网关接入,50%的网络流量将来自物联网,而物联网将贡献超过500亿的连接。与之相对应的是危机来临,开放互联也成了黑客眼中一条通往用户端的“捷径”。事实上,已经有不少网络攻击者将API列为首选的入侵目标之一。

物联网漏洞难防 开放接口也会被黑客盯上

考虑到物联网的设备形态和功能千奇百怪,从终端、无线接入、网关,再到云平台,涉及的环节众多,要知道不少设备使用的操作系统也是不统一的,不是定制的就是非标准的,无形中为运维人员增加了负担。而在工业和制造业场景中,一些产线上的物联网设备服役时间长达数月或数年,但安全防护措施却非常有限。

数据显示,平均每家企业管理的API数量超过360种,其中有接近70%的接口会向合作伙伴开放,而开发者则可以借助API库丰富代码选择,规模往往会达到数万量级。正因如此,才会说调用API对接数据流或触发响应几乎贯穿了每个代码级的交互流程。

API的可扩展性和可用性适用于多种编程语言,这也使得使用者能够选择自己擅长的语言来进行编程。无论软件处于哪一种形式,API始终伴随其中,并且随着网络环境下的接口越来越开放,其对内部应用的影响力也会随之增加。要知道,像谷歌、亚马逊公司的业务规模,每天进行的API交互次数至少要达到数百万量级。

然而,存在于不同IT环境中的联网设备,多数是由不同厂商“组装”起来的,硬件、软件、组件的提供方都不一样。这种情况造成的困境之一是,有时候芯片升级了可对应的软件升级并没有赶上,而安全补丁更新的时候组件又不支持。

这也就是为什么,有的物联网安全厂商会在一开始就希望将安全解决方案整合到一个平台中,而不是之后不断的打补丁。通过这种从芯片到网络、再到云的集成式管理,原有安全认证的复杂性降低了,也不用过于依赖第三方的证书授权。

当然,如果没有API,用户在虚拟环境中调用程序时就要手动完成,考虑到成千上万台虚拟机的数量,这种工作量可不是几个人能解决的。对于云计算厂商来说,能否提供足够丰富、足够开放的API,同时确保这些API经过严格的安全测试,在用户选择服务商时有着关键作用。

不过,任何事都有两面性。网络应用前端随处可见的API逐渐变成了黑客攻击的热点,一旦端口被攻破随之而来的就是大范围的用户信息外泄。通常,企业IT团队会通过API调用和管理云资源、服务编排、应用镜像等服务,而这些服务的可用性很大程度上会依赖于API的安全性,尤其是在客户引入第三方服务的时候,让API暴露在了外部环境中。

此时,API所面临的挑战往往会体现在几个方面:外部攻击、信息篡改、恶意跟踪。首先还是老生常谈的DDoS攻击,其对关键API的入侵能导致网络大面积瘫痪,并且占用大量计算资源使得程序中断。此外,如果通过API建立联系的用户端和服务器端没有经过特殊加密,很容易造成信息泄露。

其次是请求参数的篡改,采用https协议传输的明文加密后也有可能被黑客截获,进而将数据包伪造发起重放攻击。这时候,安全证书往往也是难以幸免的,因为黑客会让需求发起方使用“仿制证书”通信,从而获得看似已经被加密的内容。

再有就是黑客会有意追踪物联网设备的端口,这样可以直接获得API的控制权,或者向标的引入恶意内容设置漏洞陷阱。其实之前所说的重放攻击,就是将已经窃取到的内容再完整的发送给接收方,这也是https无法阻止的。举个例子,虽然黑客不能凭借重复信息盗取密码,但却能在获得加密口令后从后端发起攻击。

考虑到这些风险,服务商自然也要积极完善API的安全性。举个例子,客户端将密钥添加到参数传输过程中,结合口令发送给服务端,后者进行二次加密后再给出一个口令,通过比对前后两次口令的一致性来认定是否为合法请求。由于黑客无法获知签名密钥,因此既是修改请求参数也不能对其进行签名,更不能获得之后的口令。

好在,已有不少云服务商使用API认证或API网关来监控代码库中API的状态,不仅注视着流量和分析处理进程,还会执行相应的安全策略有效削减DDoS攻击的风险。有数据显示,超过60%的企业正在使用网络应用防火墙或API网关构建混合方案来保护数据。

同时,云服务商还可以提供类似的全托管服务,不仅在开发侧支持 HTTP、WebSockets、MQTT,减少了代码在设备上占用的空间并降低带宽要求,还在所有连接点范围内提供了身份验证和端到端加密服务。

可以说,API在复杂环境中扮演的角色愈发重要,自然也就成为了黑客的关注重点。除了要在应用端建立防护措施,更要在代码上线前对API进行测试,尽力消除可能存在漏洞,将风险降到更低。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 物联网
    +关注

    关注

    2909

    文章

    44557

    浏览量

    372787
  • 网关
    +关注

    关注

    9

    文章

    4444

    浏览量

    51057
  • 制造业
    +关注

    关注

    9

    文章

    2235

    浏览量

    53582
收藏 人收藏

    评论

    相关推荐

    联网学习路线来啦!

    联网学习路线来啦! 联网方向作为目前一个热门的技术发展方向,有大量的人才需求,小白的学习入门路线推荐以下步骤。 1.了解
    发表于 11-11 16:03

    联网系统的安全漏洞分析

    随着联网技术的快速发展,越来越多的设备被连接到互联网上,从智能家居、智能城市到工业自动化,联网的应用范围不断扩大。然而,随着
    的头像 发表于 10-29 13:37 356次阅读

    联网技术的挑战与机遇

    ,从智能家居、智慧城市到工业自动化、医疗健康等众多领域。然而,联网技术的快速发展带来了一系列挑战与机遇。 挑战: 安全性问题:联网设备
    的头像 发表于 10-29 11:32 723次阅读

    润和软件星闪派联网开发套件资料+答疑帖

    星闪派联网开发套件具有丰富的通信接口开放性、模块化、集成化等多个亮点;可基于星闪派联网开发
    发表于 09-29 10:24

    IP地址会被黑

    IP地址会被黑?是的,你的IP地址如果不幸被恶意分子盯上,就会被恶意利用,这会引发一系列明显的异常表现。就像网络会突然变得异常缓慢,下载速度骤降,网页无法加载,更甚至在打游戏时,频繁出现连接中断情况
    的头像 发表于 09-12 14:24 328次阅读

    什么是联网技术?

    什么是联网技术? 联网技术(Internet of Things, IoT)是一种通过信息传感设备,按约定的协议,将任何物体与网络相连接,实现智能化识别、定位、跟踪、监管等功能的
    发表于 08-19 14:08

    【新品上线】星闪派联网开发套件免费试用

    星闪派联网开发套件具有丰富的通信接口开放性、模块化、集成化等多个亮点;可基于星闪派联网开发
    发表于 08-16 09:34

    苹果macOS 15 Sequoia将修复18年老漏洞,筑牢企业内网安全防线

    8月8日,网络安全领域传来重要消息,一个长达18年的安全漏洞正在被黑客广泛利用,以入侵企业内网,威胁企业信息安全。幸运的是,苹果公司已确认在其即将推出的macOS 15 Sequoia系统中将修复这一长期存在的安全隐患。
    的头像 发表于 08-08 17:16 462次阅读

    联网主机E6000:智慧安的核心动力

    至关重要的角色。 联网主机E6000是一款专为联网应用设计的高性能主机,它具备强大的数据采集能力、稳定的运行性能以及丰富的接口支持。E6
    的头像 发表于 06-20 16:07 296次阅读
    <b class='flag-5'>物</b><b class='flag-5'>联网</b>主机E6000:智慧安<b class='flag-5'>防</b>的核心动力

    微软五月补丁修复61个安全漏洞,含3个零日漏洞

    值得注意的是,此次修复并不包含5月2日修复的2个微软Edge漏洞以及5月10日修复的4个漏洞。此外,本月的“补丁星期二”活动还修复了3个零日漏洞,其中2个已被证实被黑客利用进行攻击,另
    的头像 发表于 05-15 14:45 685次阅读

    苹果修复旧款iPhone和iPad内核零日漏洞

    此次更新的漏洞追踪编号为CVE-2024-23296,存在于RTKit实时操作系统。据了解,已有证据显示该漏洞被黑客用于进行攻击,通过内核读写功能可绕过内存保护机制。
    的头像 发表于 05-14 14:06 543次阅读

    微软修复两个已被黑客利用攻击的零日漏洞

    此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
    的头像 发表于 04-10 14:39 556次阅读

    特斯拉修补黑客竞赛发现的漏洞,Pwn2Own助其领先安全领域

    作为领先电动车品牌,特斯拉始终重视网络安全,并且与白帽黑客建立伙伴关系。为此,特斯拉依托Pwn2Own等黑客赛事平台,以重金奖励挖掘漏洞以弥补隐患。这一措施取得良好成效,数百个漏洞已在
    的头像 发表于 03-22 11:35 494次阅读

    防止AI大模型被黑客病毒入侵控制(原创)聆思大模型AI开发套件评测4

    在设计防止AI大模型被黑客病毒入侵时,需要考虑到复杂的加密和解密算法以及模型的实现细节,首先需要了解模型的结构和实现细节。 以下是我使用Python和TensorFlow 2.x实现深度学习模型
    发表于 03-19 11:18

    应急减灾场景中,联网都发挥了什么作用?

    通常,在联网相关的行业内,应急管理、防灾减灾会被列入“智慧城市”、“智慧安”等涉及公共事业的板块当中,不同的板块与信息中心组合成一个整体的智慧城市平台。
    发表于 01-09 09:35 441次阅读
    应急减灾场景中,<b class='flag-5'>物</b><b class='flag-5'>联网</b>都发挥了什么作用?