學校期末教學評鑑抽獎禮物
是有資安疑慮的 #小米手環
#按呢敢好??
　
(2014)小米手機偷傳資料到北京？iThome找資安專家實測：有
>>>iThome找來資安專家實機測試日前傳出資料回傳中國風波的紅米手機。檢測過程中，確實發現紅米手機有資料回傳小米北京總公司伺服器，不論是全新的紅米手機，或者是使用一陣子的紅米手機，都有類似現象。<<<
https://reurl.cc/X6paMM
　
(2016)警告！運動手環偷走了你的密碼
>>>據 Binghamton 大學和 Stevens 理工學院的最新報告顯示，運動手環盜取你的銀行帳戶密碼是完全有可能發生的，這類具有運動追蹤功能的穿戴式裝置能夠準確地記錄用戶的手部動作，使用者在 ATM 提款機上輸入密碼時也不例外，記錄下運動的軌跡還可能被發送到其他人手中，利用對運動軌跡的分析，就可以輕而易舉地獲得密碼<<<
https://reurl.cc/8Gzbab
　
(2016)研究：7款運動手環恐洩個資 小米手環在列
>>>非營利組織Open Effect與多倫多大學共同進行的研究發現，包含Basis、Fitbit、Garmin、Jawbone、Mio、Withing以及小米推出的運動手環，所搭載的藍牙功能因有固定辨識標籤，只要透過這個標籤，即便在手機上的藍牙功能關閉，沒有與手機配對的情況下，第三方仍然可以追蹤這些運動手環在任何時刻的位置<<<
https://reurl.cc/V67mv6
　
(2018)戴智慧手環要當心！？ 個人資訊恐露餡
>>>台科大資管教授查士朗：「如果有一些安全性設計，沒有設計很好的手環，或是物聯網裝置，它在傳輸資料的時候，傳一些敏感資料，我們就可以從這邊側錄到。」<<<
https://reurl.cc/5lVbWR
　
(2019)個資可能被看光 杜奕瑾：別用中國App和設備
>>>PTT之父杜奕瑾今天說，盡量別用來自中國等有疑慮的App和設備，因為它們不需要徵得使用者的同意，「自動」會即時收集整合公私部門資料，推送警政監控系統。<<<
https://reurl.cc/arRMjG
　
(2020)小米爆資安疑慮！將用戶資料傳回中國
>>>小米卻又承認他們的確有收集瀏覽網站的相關數據，不過這是用來改善產品品質最常見的解決方法之一<<<
https://reurl.cc/mn7kQV

https://post.smzdm.com/p/akmr64o9/
文內提的啥"小米手環把廠商編碼鎖住了"
其實說的是Mifare 每一個sector包含四個block,
0 sector 0 block不能修改(UID)

期待可以自行方便修改小米手環NFC UID
這樣就比較"好用了"

Mifare 科普
https://notes.andywu.tw/…/%E8%A4%87%E8%A3%BD%E4%B8%80%E5%B…/

#OSSLab
#硬體資安

無所不在的物聯網設備，你我都需要正視所帶來的資安問題

在2017年資安大會中，Hitcon Girls共同創辦人賴婕芳與沈祈恩認為，目前物聯網裝置的應用會越來越普遍，但與其有關的資安事件頻傳，因此無論是製作的廠商，還是企業乃至於個人，都應該提高警覺，重視這些設備的安全性。

文/周峻佑 | 2017-03-18發表

周峻佑

Hitcon Girls共同創辦人賴婕芳與沈祈恩在2017年資安大會的議程中疾呼，物聯網（IoT）裝置所衍生的資安問題必須受到正視，因為比起電腦，這些裝置可能會接觸到更多個人隱私，或是影響人身安全與國家安全，一旦遭受駭客攻擊，後果便不堪設想。物聯網裝置的安全與我們息息相關，無論是製造者還是使用者，你我都必須暸解如何降低其資安風險。

物聯網裝置帶來不少便利性與創新應用，因此受到人們的歡迎。物聯網這個名詞，最早出現於1999年，但直到2013年之後，成為開始熱門討論的話題，然而，根據2015年AT&T所做的調查報告中指出，在受訪的5,000家企業中，有高達85%想要發展物聯網應用，卻只有10%的企業有信心能夠應付駭客的攻擊，顯示物聯網的資安問題，連企業普遍都沒有把握。

另一個面向，則是從Symantec、FireEye、趨勢科技、Intel Security、Kaspersky等資安大廠2017年的預測報告中，可看出端倪。這些報告不約而同指出，物聯網裝置會帶來嚴重的資安風險與網路攻擊。賴婕芳以2016年10月時，DNS供應商Dyn遭受大規模DDoS攻擊的事件為例，其中一部分是由Mirai控制的物聯網裝置僵屍網路所發動。這個事件造成採用的Dyn服務的知名網站，包含BBC與GitHub等受到波及。然而，駭客取得這些物聯網裝置控制權的方法，僅僅只是透過了測試60組常見的預設帳號與密碼就得手。

應用層面廣泛，無論是小朋友的玩具，還是學校的路燈，全都是物聯網裝置

其實物聯網涉及的領域相當廣泛，無論是金融、公共服務、製造業、零售業，乃至於與人身安全有關的醫療、國家安全有關的能源設施，都有相關的應用。還有，近年來常見的智慧家庭，也使用了大量的物聯網裝置。

賴婕芳舉出許多案例，像是互動式芭比娃娃，透過了像是Siri的機制，就能和小朋友對話，然而卻被發現，其網路通訊可能會被有心人士攔截，讓芭比說出指定的內容，如果這個駭客是個戀童癖，很可能會讓小孩與家長飽受驚嚇。

此外，美國有間大學受到DDoS攻擊，經調查卻來是自校內的路燈、販賣機等物聯網設備，但學校並未想到這些校內設施，都是屬於這類設備的一部分。

物聯網設備甚至會造成人身威脅，例如駭客可控制汽車的自動駕駛系統，透過槍枝的管控系統，駭客可執行射擊。

物聯網安全是一整個生態圈的事情

基本上，許多人想到物聯網的資安問題，可能會以為主要是對於裝置加密，消除漏洞等防護措施。但事實上，我們手上的物聯網設備，只是傳感器（Sensors），背後擁有一個生態圈，還包含網路與應用程式等。但從駭客攻擊的面向來看，則略有不同：大致上可分成硬體設備、連接性（Connectivity），以及應用程式3塊。

硬體指的不只是物聯網設備本身，還包含整個生態圈設施，像是閘道設備，或是執行應用程式的手機等，駭客可透過這些裝置發動攻擊。

連接性指的是任何連接的階段、過程，包含網路流量、生態圈通訊，以及設備之間的連接，或是應用程式之間的API等。

應用程式則包含物聯網裝置本身的軟體、雲端網頁介面或管理者介面等。

在物聯網硬體出現的問題中，賴婕芳舉了RFID卡Mifare Classic為例，這種卡片遭到逆向工程解析後，被發現金鑰只有48 bits，極容易破解，她說，以現在的角度來看，只要在淘寶花5美元，就能取得相關的修改工具。

而對於連接性的問題，像低功耗藍芽通訊（BLE）來說，在需要溝通的兩個設備之間，由於像手環一類的設備沒有螢幕，只能使用配對機制中的Just Work驗證方法（無密鑰），在這種情況下就很容易遭受中間人攻擊。

但其實另外一層隱憂，則是更多裝置的BLE通訊過程完全沒有加密，以賴婕芳他們測試過的小米手環與體重計來說，他們發現只是對手機程式進行配對，沒有對資料做保護，因此可將手環或是體重計的通訊內容，傳送到非綁定的行動裝置。換言之，有心人士可將小米體重計得到某個人的重量資訊，同時傳送到多臺裝置中呈現。

相較於上述兩者，應用程式是駭客最常使用的攻擊標的，像Hitcon在2015年舉辦的大會中，就展示駭入Gogoro App並取得憑證，然後將電動機車成功發動。然而這是應用程式在設計上的問題，將憑證存放在手機不夠安全的區域導致。

迎向2017年，物聯網安全是全民都要面對的問題

面臨物聯網裝置層出不窮的資安事件，我們必須有所體認。針對不同的角色，賴婕芳提出以下建議措施：

製造商：開始設計必須將資安納入考量，並且開發者需要有安全開發經驗、訓練，最好產品在上市前滲透測試。

企業用戶：需將物聯網設備盤點並列管，若是無法修補的設備，應考慮隔絕於主要網路之外。此外，防護措施需將整個網路架構納入資安考量。並在採購時，要求廠商確保設備安全性。

終端使用者：了解使用裝置的風險，如果不確定設備的功能，最好就不要使用。使用時，要將預設密碼更換成高度複雜的密碼。

資料來源：http://www.ithome.com.tw/news/112848