物联网装置存在多项隐藏漏洞 安全性问题被一一证实

　　内容与服务公司Akamai近期发布新发现指出，已观察到黑客积极地对家中路由器或电玩主机的漏洞进行攻击，事实上大多数消费者家中的物联网（IoT）装置存在许多容易攻击的漏洞，且这些漏洞自被发现以来根本没有被妥善修复。

　　据报导，这些漏洞在2006年一篇有关热插拔（Universal Plug and Play；UPnP）协定安全性漏洞的文章就被发现，但当时还是学术性的理论，不过最近Akamai发现了黑客攻击的证据，黑客并非直接攻击装置，而是利用漏洞以阻断服务攻击（DDoS）、散布恶意软件、垃圾信、钓鱼攻击、假帐户、点击诈欺等攻击方法。

　　黑客的手法是利用一般路由器或其它消费性装置中UPnP的漏洞，创造复杂的代理服务器网络掩盖黑客的攻击，Akamai称其为「多用途代理殭尸网络」（multi-purpose proxy botnet）。

　　Akamai安全主管Chad Seaman表示，许多人忽略了装置脆弱的事实，在研究中他们发现一些机器确实出现了非常异常的行为，这也让2006年的理论性研究得到了证实。

　　UPnP的用途是让网络中各个装置能相互联机并辨识彼此，因此一个服务器才能辨识「某装置是一台打印机」，UPnP与其它网络协定协同工作并协商自动配置网络通信，并且可以在应用程序想要发送大量数据时使用，以促进影像串流或电玩主机通讯不受限制。

　　一旦IoT设备在不需要身份验证的情况下暴露于开放的网络，其凭证检查将可很容易被猜出或被暴力破坏，黑客就可扫描一台设备中的所有协定，然后利用这一系列制造商的漏洞发起攻击。

　　这也是研究人员发现恶意UPnP代理服务器网络的方式，Akamai表示在公开的网络上发现了480万台设备不正确地传回与UPnP相关的特定查询，其中约有76.5万台装置进行二次执行，造成更大的网络通讯漏洞，Akamai发现其中超过6.5万台装置有黑客利用其它漏洞，将一个或多个恶意命令输入到控制流量的路由器机制中，最终发现黑客用来绕过流量的17，599个IP地址。

　　利用UPnP攻击的案例并不是只有Akamai发现一例，例如赛门铁克（Symantec）近期发布证据指出，它所追踪的间谍组织使用UPnP代理服务器来威胁路由器，并掩盖其通讯，但其它观察人士指出这种策略并不常见，因为这些机制较难建立。

　　用户不会意识到他们的设备是否被利用来进行UPnP代理攻击，而且如果已有一个易受攻击的设备，除了取得新设备之外，他们几乎无法做出自我防御，某些设备允许用户禁用UPnP，但这可能会导致功能问题。

　　尽管多年来越来越多的设备已经改进其UPnP以避免这些风险，但Akamai仍发现了73个品牌与近400个易受攻击的IoT设备。美国计算机危机处理暨协调中心（CERT / CC）也声明其「已被Akamai告知，大量设备仍易受恶意NAT攻击，该脆弱性已被证实」。