物聯網是一個互相連接的系統,涵蓋了物理設備、交通工具、建築物和其他物件。這些物件內置了感應器、軟體和網路連接,讓它們能夠收集和交換數據。物聯網裝置的應用範疇廣泛,例如無人駕駛飛機(無人機)。無人機是一種不需要駕駛員在機艙內操作的飛行器,由電腦或遙控器控制。無人機在各行各業中的應用越來越廣泛,市場規模龐大,吸引了政府和商業機構投資開發。技術的進步和成本降低有利於無人機的普及,使得一些商業機構開始探討無人機市場,為大眾提供低價的無人機。然而,無人機的普遍使用也使得黑客有機可乘,利用無人機進行惡意行為,對公共安全和隱私帶來潛在風險。
香港電腦保安事故協調中心(HKCERT),隸屬於香港生產力促進局,將針對物聯網的攻擊列為2023年五大資訊安全風險之一。HKCERT與香港理工大學團隊合作開展了一項針對無人機網絡安全的研究,以提高大眾對無人機和物聯網安全的關注。此外,HKCERT還會模擬黑客攻擊手法,並討論如何自我防範,避免成為網絡犯罪的受害者。
消費品級無人機有兩類:單純的「飛行器」和配有拍攝鏡頭的「航拍機」,用途、形狀和大小各異,包括拍攝錄影、協助搜救、科研、農業監測等。隨著技術進步和成本降低,這些無人機越來越受到歡迎。黑客可能利用無人機進行物理攻擊,例如投擲物品或用無人機撞擊目標,對人員和財產造成嚴重損害。
網絡安全風險方面,黑客通常針對系統漏洞、使用者憑證和加密方式進行攻擊。一般無人機通過遙控器發送指令給機體,機體接收並執行指令,同時將系統狀態和影像回傳至遙控器。兩者都是獨立的系統,中間通過特定的網絡通訊協定和指令操作。
市面上的大部分無人機使用Wi-Fi作為通訊手段,Wi-Fi De-authentication攻擊是一種針對Wi-Fi網絡中客戶端設備和接入點之間通訊的無線網絡攻擊。此類攻擊包括向接入點發送取消認證的請求,導致客戶端從網絡中斷連接。這種攻擊可以破壞 Wi-Fi 網絡的正常運作,迫使客戶端重新連接到網絡,並可能泄露敏感信息,如登錄憑證,或者引發其他類型的攻擊。
應對這些安全風險,無人機使用者應加強對無人機和相關通訊系統的保護,採取如加密通訊、設置強密碼等措施。此外,無人機生產商和相關政府部門應提高對無人機網絡安全的重視,加強技術研究和產品改進,以降低潛在風險,保障公共安全和隱私。
保安建議
1. 使用複雜性高的密碼(例如混合使用符號、數字、大階及細階英文字母,及建議長度不少於12個字元) 。
2. 盡可能設定雙重驗證 / 多重驗證為用戶認證方式,此舉有助防止未經授權的訪問者進入您的無人機控制系統。研究亦嘗試在一分鐘內成功Brute Force簡短密碼,所以複雜的密碼能減少被入侵的機會。
3. 使用無人機或其他物聯網設備前盡可能更改其SSID,因為黑客能透過預設SSID推斷所使用產品的品牌及型號。
其他建議
個人用戶:
1. 保持無人機韌體維持最新狀態
– 定期更新無人機的韌體,以修補已知漏洞並確保無人機的軟體處於最新狀態。
2. 停用非必要功能
– 減少黑客透過其他渠道進行攻擊。
生產商:
1. 加密無人機的數據
– 使用加密來保護在無人機和其控制系統之間傳輸的數據。這將有助於防止數據被盜或截取。
2. 設置雙重驗證 / 多重驗證為用戶認證方式
– 有助於防止未經授權的訪問者進入您的無人機控制系統。
有關詳情請參閱以下網址:
https://www.hkcert.org/tc/blog/iot-security-in-the-digital-age-protecting-your-connected-world
