昨天看完了第10名到第6名的選手，今天就來看看對IoT前五名分別是哪些威脅吧！

第5名：使用不安全或過時的元件
使用已停止維護或不安全的軟體元件/函式庫，導致設備可能被入侵。這亦包含了不安全的客製化作業系統，以及使用來自供應鏈中已被入侵的廠商所提供的第三方軟硬體元件。

第4名：缺乏安全更新機制
缺乏安全進行設備更新的能力，這包含了缺乏設備韌體的驗證、缺乏資料傳輸時之加密、缺乏防版本回刷機制，及缺乏因應更新而導致之安全性改變之通知。

第3名：不安全的操作系統介面
可用於操控IoT設備的不安全的網頁、後端API、雲端或智慧型手機介面，導致設備可能遭入侵並影響相關元件。常見的問題包括缺乏身份驗證機制、缺乏加密機制，或是加密機制很弱，以及缺乏輸出入資訊的過濾。

第2名：不安全的網路服務
設備上運行有非必要或是不安全的網路服務，特別是那些可以直接由網際網路存取的設備，並造成資訊之保密性、一致性及可用性受影響，並導致允許未經授權的遠端存取。

第1名：弱密碼、容易被猜到的密碼及寫死的密碼
使用容易就能被暴力破解的密碼、能夠公開取得的密碼、或是沒有改變過的預設密碼，例如韌體中藏有之後門，以及透過客戶端的軟體提權並進到佈建的系統內部等。
補充一下，大部分的IoT殭屍網路都是透過這個威脅取得目標設備的存取權限，並透過該設備進行下一步的對外攻擊。

以上就是由OWASP所發展出IoT的前10大威脅清單，也建議各位在建置或管理IoT時應該要確認一下，是不是有剛好踩到這些雷，以免造成設備遭入侵或資料外洩導致損失喔！

此外，後續OWASP也會持續更新威脅清單及排名，有興趣的也可以隨時關注OWASP網頁取得最新消息喔。

參考資料：
[1] https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project