圖片來(lái)源:IBM
隨著(zhù)全球各大城市皆已悄悄地展開(kāi)智慧城市(Smart City)部署,IBM X-Force Red團隊與資安業(yè)者Threatca攜手檢視智慧城市所使用的主要系統,發(fā)現了17個(gè)安全漏洞,將允許黑客操縱警報系統、竄改感應器數據,造成民眾的恐慌或城市的混亂,并於本周舉行的黑帽(Black Hat)黑客大會(huì )上公布。
IBM X-Force Red研究總監Daniel Crowley表示,他們是在今年初開(kāi)始測試智慧城市所使用的Libelium、Echelon與Battelle系統,當中的Libelium是個(gè)無(wú)線(xiàn)感應器網(wǎng)絡(luò )的硬件制造商,Echelon則專(zhuān)門(mén)銷(xiāo)售工業(yè)物聯(lián)網(wǎng)裝置與嵌入式應用,也生產(chǎn)聯(lián)網(wǎng)照明控制器,Battelle則為專(zhuān)門(mén)開(kāi)發(fā)與商業(yè)化各種技術(shù)的非營(yíng)利單位。
研究人員主要查訪(fǎng)的是有關(guān)智慧交通系統、災難管理,以及工業(yè)物聯(lián)網(wǎng)的裝置,這些裝置是透過(guò)Wi-Fi、4G、ZigBee或其它通訊協(xié)定聯(lián)網(wǎng)。
在找到這些裝置或服務(wù)的漏洞之後,研究人員還在公開(kāi)網(wǎng)絡(luò )上發(fā)現數百個(gè)含有漏洞的裝置,有些歐洲國家利用這些裝置來(lái)偵測輻射,美國城市則使用它們來(lái)監控交通。
這17個(gè)安全漏洞涉及采用預設密碼、可繞過(guò)身分驗證機制,以及資料隱碼等,當中有8個(gè)被列為重大(Critical)漏洞,透露出就算是最為現代化的智慧城市,卻仍舊曝露在老派的安全威脅中。
Crowley指出,這些漏洞將允許黑客擺布水位感應器,以觸發(fā)錯誤的洪水警報,或是避免觸發(fā)洪水警報,同樣地,黑客也能操縱核電廠(chǎng)附近的輻射感應器,或者是藉由對交通系統、建筑物警報系統或緊急警報系統的控制來(lái)制造混亂,在在都顯示出缺乏安全的智慧城市將可能帶來(lái)更多的恐慌或造成實(shí)際傷害。
根據估計,智慧城市的技術(shù)支出將從今年的800億美元成長(cháng)到2021年的1,350億美元,隨著(zhù)智慧城市愈來(lái)愈普及,Crowley提醒產(chǎn)業(yè)應以安全為出發(fā)點(diǎn),重新檢驗這些系統的框架,也建議有意導入智慧城市的首長(cháng)應限制連結智慧系統的IP位址,掃描這些系統的缺陷,采用更安全的密碼與API金鑰,或是聘請白帽黑客來(lái)測試軟、硬件的安全性。
目前不論是生產(chǎn)相關(guān)裝置的業(yè)者或是部署這些裝置的城市都已修補了IBM所提出的漏洞。
