圖/資策會

物聯網時代來臨,舉凡能夠連網的產品,都有可能是資安攻擊的目標。日前美國聯邦貿易委員會(FTC)控訴我國知名網通產品存在嚴重安全瑕疵,為此資策會資安所成立「資安檢測鑑識實驗室(CFL ; Cybersecurity Forensics Laboratory)」,提供政府與企業Web軟體及系統平台等檢測與數位鑑識分析服務。

此實驗室主要推出包含(1) IoT產品接軌國際之資安合規顧問輔導、(2) 我國IoT產品資安檢測基準擬定、(3) IoT資安檢測與鑑識服務推動等三項服務,希望能夠協助國內業者降低產品出口之資安修補成本,及資安風險造成消費權利的損害。 

資策會資安所所長林宗男表示,資安檢測鑑識實驗室在抽測市售IP CAM中,竟然發現某廠牌的韌體更新檔沒有加密,因此容易被竄改遭受攻擊,並啟動不需要的預設服務。此外,在WiFi AP(基地台)檢測時發現,管理介面的管理者帳號密碼可輕易被破解。

事實上,智慧聯網設備資安檢測以人工分析耗時耗力,供應商大多未提供作業系統與韌體之修補程式、測試工具及更新機制,造成安全弱點或漏洞修補的困難,目前資安檢測鑑識實驗室已開發以人工智慧為核心的資安檢測工具,包括靜態韌體解析掃描、智慧裝置韌體弱點探析技術等,可降低漏洞修補的人力成本。