导航IoT安全雷区：确保设备到云流动

在这里，我们又去了 - 又一个月，新闻中的另一个物联网安全问题；这次a英国广播公司的报告关于脆弱的误解儿童追踪智能手表是对黑客的。如果您是知道您孩子在哪里的众多父母之一，那么您应该在急忙购买一个产品之前使用Misafes Smartwatch等产品的漏洞了解更多。

安全性问题在误解设备的情况下在于如何观看通信到云。使用此设备，将手表验证到其云平台的唯一因素是唯一的ID。一旦恶意用户确定手表如何传达给云的方式，他就可以轻松复制身份验证流，然后通过更改ID，可以访问其他用户的个人信息。在这种情况下，该个人信息可能包括诸如孩子的姓名，性别和出生日期之类的详细信息。

在这种情况下，似乎开发人员没有关注确保产品而是使用最简单，最脆弱的方法之一来验证设备。构建物联网设备时，有更多可靠的安全方法，尤其是与一项服务相关的设备，该服务将收集和存储可以轻松利用的个人信息。

可以说，身份验证是设备到云API通信的最重要部分。毕竟，如果黑客能够过去的身份验证，他本质上是王国的钥匙。为IoT设备实现强大身份验证的一种强大而验证的方法是使用可信平台模块等硬件加密技术（TPM）。TPM以及私人/公共密钥密码学，提供了一种高度安全的对设备进行身份验证的方法。

同样重要的是要注意，如果TPM芯片未内置在物联网系统中，或者TPM硬件相对于设备本身而言太昂贵，则仍然可以使用基于私有/公共密钥的身份验证。但是，鉴于任何具有物理访问设备存储的人都可以使用，唯一的密钥或标识符（私钥）将不那么安全。

在设备和API之间进行通信的另一个重要因素是运输安全性 - 只有强大的加密协议，例如包含的协议TLS 1.2，应使用。当然，API安全本身至关重要。在本系列的下一次迭代中，更多有关此的信息。

因此，此不法行为示例中的课程是，所有的IoT设备都必须优先考虑安全性，以避免利用漏洞。

所有的物联网议程网络贡献者都负责其帖子的内容和准确性。意见是作家的，不一定会传达物联网议程的思想。