IBM与安全业者Threatca连手,检视智慧城市所使用的Libelium、Echelon与Battelle系统,发现这些被应用在智能交通系统、灾难管理、工业物联网的装置潜藏漏洞,可能使黑客可以窜改数据、触发警报制造恐慌及混乱。
随着全球各大城市皆已悄悄地展开智慧城市(Smart City)部署,IBM X-Force Red团队与安全业者Threatca携手检视智能城市所使用的主要系统,发现了17个安全漏洞,将允许黑客操纵警报系统、窜改传感器数据,造成民众的恐慌或城市的混乱,并于本周举行的黑帽(Black Hat)黑客大会上公布。
IBM X-Force Red研究总监Daniel Crowley表示,他们是在今年初开始测试智能城市所使用的Libelium、Echelon与Battelle系统,当中的Libelium是个无线传感器网络的硬件制造商,Echelon则专门销售工业物联网装置与嵌入式应用,也生产连网照明控制器,Battelle则为专门开发与商业化各种技术的非营利单位。 研究人员主要查访的是有关智能交通系统、灾难管理,以及工业物联网的装置,这些装置是透过Wi-Fi、4G、ZigBee或其它通讯协议连网。
在找到这些装置或服务的漏洞之后,研究人员还在公开网络上发现数百个含有漏洞的装置,有些欧洲国家利用这些装置来侦测辐射,美国城市则使用它们来监控交通。 这17个安全漏洞涉及采用默认密码、可绕过身分验证机制,以及数据隐码等,当中有8个被列为重大(Critical)漏洞,透露出就算是最为现代化的智慧城市,却仍旧曝露在老派的安全威胁中。
Crowley指出,这些漏洞将允许黑客摆布水位传感器,以触发错误的洪水警报,或是避免触发洪水警报,同样地,黑客也能操纵核电厂附近的辐射传感器,或者是借助对交通系统、建筑物警报系统或紧急警报系统的控制来制造混乱,在在都显示出缺乏安全的智能城市将可能带来更多的恐慌或造成实际伤害。
根据估计,智慧城市的技术支出将从今年的800亿美元成长到2021年的1,350亿美元,随着智慧城市愈来愈普及,Crowley提醒产业应以安全为出发点,重新检验这些系统的框架,也建议有意导入智能城市的首长应限制链接智能系统的IP地址,扫描这些系统的缺陷,采用更安全的密码与API密钥,或是聘请白帽黑客来测试软、硬件的安全性。 目前不论是生产相关装置的业者或是部署这些装置的城市都已修补了IBM所提出的漏洞。
{{item.content}}