Daftar 10 kelemahan Internet of thing IOT

 Proyek Internet of Things dari OWASP dimulai pada tahun 2014 sebagai cara membantu Pengembang, Produsen, Perusahaan, dan Konsumen untuk membuat keputusan yang lebih baik terkait pembuatan dan penggunaan sistem IoT atau Internet of Thing.


Image from OWASP

Pada tahun 2018 OWASP merilis panduan untuk 10 Kelemahan IoT Teratas dan tidak mengherankan posisi teratas terkait dengan sandi yang lemah atau dapat ditebak.


Dan berikut ini adalah daftar lengkap Daftar 10 kelemahan Internet of thing IOT


  • Kata Sandi yang Lemah

  Kata Sandi Hardcode Penggunaan bruteforced yang mudah tersedia untuk umum, dan sangat mudah ditebak.

  • Layanan Jaringan jadi tidak aman

Layanan jaringan yang tidak diperlukan atau tidak aman berjalan di perangkat itu sendiri, terutama yang terkena internet, yang membahayakan kerahasiaan, integritas / keaslian, atau ketersediaan informasi atau memungkinkan kendali jarak jauh yang tidak sah

  • Ecosystem Interfaces yang tidak aman

Web tidak aman, API backend, cloud, atau interface seluler di ekosistem di luar perangkat yang memungkinkan penyusupan perangkat atau komponen terkait. Masalah umum termasuk kurangnya otentikasi / otorisasi, enkripsi yang kurang atau lemah, dan kurangnya pemfilteran input dan output.

  • Kurangnya Mekanisme Pembaharuan yang Aman

Kurangnya kemampuan untuk memperbarui perangkat dengan aman. Ini termasuk kurangnya validasi firmware pada perangkat, kurangnya pengiriman yang aman (tidak dienkripsi saat transit), kurangnya mekanisme anti-rollback, dan kurangnya pemberitahuan tentang perubahan keamanan karena pembaruan.

  • Penggunaan Komponen yang sudah Usang

Penggunaan komponen / perangkat lunak yang yang memungkinkan cloud perangkat disusupi. Ini termasuk penyesuaian platform sistem operasi yang tidak aman, dan penggunaan perangkat lunak pihak ketiga atau komponen perangkat keras dari rantai pasokan yang disusupi.

  • Perlindungan Privasi Tidak Cukup

Informasi pribadi pengguna yang disimpan di perangkat atau dalam ekosistem yang digunakan secara tidak aman, tidak semestinya, atau tanpa izin.

  • Transfer dan Penyimpanan Data yang Tidak Aman

Kurangnya enkripsi atau kontrol akses data sensitif di mana pun dalam ekosistem, termasuk saat istirahat, dalam perjalanan, atau selama pemrosesan.

  • Kurangnya Manajemen Perangkat

Kurangnya dukungan keamanan pada perangkat yang digunakan dalam produksi, termasuk manajemen aset, manajemen pembaruan, dekomisioning yang  aman, pemantauan sistem, dan kemampuan respons.

  • Pengaturan Default yang Tidak Aman

Perangkat atau sistem yang dikirim dengan pengaturan default yang tidak aman atau tidak memiliki kemampuan untuk membuat sistem lebih aman dengan membatasi operator melalui memodifikasi konfigurasi.

  • Kurangnya Physical Hardening

Kurangnya tindakan Physical Hardening, memungkinkan penyerang potensial untuk mendapatkan informasi sensitif yang dapat membantu dalam serangan jarak jauh di masa mendatang atau mengambil kendali local dari perangkat.