2015年，兩名網(wǎng)絡安全專家通過中間人攻擊的方式，對高速公路上的吉普車實現(xiàn)了遠程控制。這次襲擊展示了中間人攻擊的危害性，也導致廠商召回了140萬輛汽車。未來79%的物聯(lián)網(wǎng)流量將通過網(wǎng)關接入，物聯(lián)網(wǎng)將貢獻超過500億的連接，物聯(lián)網(wǎng)因為其具有開放性、多源異構性、泛在性等特性，API不僅成為生態(tài)系統(tǒng)之間的交互窗口，更是構建混合業(yè)務平臺的基礎，已經(jīng)有不少網(wǎng)絡攻擊者將API列為首選的入侵目標之一，物聯(lián)網(wǎng)的安全關系到個人、家庭、社會、乃至國家的安全，種種安全威脅的出現(xiàn)，也在不斷的提醒著我們：萬物互聯(lián)，安全先行。

物聯(lián)網(wǎng)的設備形態(tài)和功能千奇百怪，從終端、無線接入、網(wǎng)關，再到云平臺，涉及的環(huán)節(jié)眾多，要知道不少設備使用的操作系統(tǒng)也是不統(tǒng)一的，不是定制的就是非標準的，無形中為運維人員增加了負擔。而在工業(yè)和制造業(yè)場景中，一些產(chǎn)線上的物聯(lián)網(wǎng)設備服役時間長達數(shù)月或數(shù)年，但安全防護措施卻非常有限。數(shù)據(jù)顯示，平均每家企業(yè)管理的API數(shù)量超過360種，其中有接近70%的接口會向合作伙伴開放，而開發(fā)者則可以借助API庫豐富代碼選擇，規(guī)模往往會達到數(shù)萬量級。正因如此，才會說調用API對接數(shù)據(jù)流或觸發(fā)響應幾乎貫穿了每個代碼級的交互流程。然而，存在于不同IT環(huán)境中的聯(lián)網(wǎng)設備，多數(shù)是由不同廠商“組裝”起來的，硬件、軟件、組件的提供方都不一樣。這種情況造成的困境之一是，有時候芯片升級了可對應的軟件升級并沒有趕上，而安全補丁更新的時候組件又不支持。網(wǎng)絡應用前端隨處可見的API逐漸變成了黑客攻擊的熱點，一旦端口被攻破隨之而來的就是大范圍的用戶信息外泄。通常，企業(yè)IT團隊會通過API調用和管理云資源、服務編排、應用鏡像等服務，而這些服務的可用性很大程度上會依賴于API的安全性，尤其是在客戶引入第三方服務的時候，讓API暴露在了外部環(huán)境中。

API所面臨的挑戰(zhàn)往往會體現(xiàn)在幾個方面：外部攻擊、信息篡改、惡意跟蹤。首先還是老生常談的DDoS攻擊，其對關鍵API的入侵能導致網(wǎng)絡大面積癱瘓，并且占用大量計算資源使得程序中斷。此外，如果通過API建立聯(lián)系的用戶端和服務器端沒有經(jīng)過特殊加密，很容易造成信息泄露。其次是請求參數(shù)的篡改，采用https協(xié)議傳輸?shù)拿魑募用芎笠灿锌赡鼙缓诳徒孬@，進而將數(shù)據(jù)包偽造發(fā)起重放攻擊。這時候，安全證書往往也是難以幸免的，因為黑客會讓需求發(fā)起方使用“仿制證書”通信，從而獲得看似已經(jīng)被加密的內容。再有就是黑客會有意追蹤物聯(lián)網(wǎng)設備的端口，這樣可以直接獲得API的控制權，或者向標的引入惡意內容設置漏洞陷阱。

物聯(lián)卡之家（www.linhoocis.cn）了解，目前已有不少云服務商使用API認證或API網(wǎng)關來監(jiān)控代碼庫中API的狀態(tài)，有數(shù)據(jù)顯示，超過60%的企業(yè)正在使用網(wǎng)絡應用防火墻或API網(wǎng)關構建混合方案來保護數(shù)據(jù)?？梢哉f，API在復雜環(huán)境中扮演的角色愈發(fā)重要，自然也就成為了黑客的關注重點。除了要在應用端建立防護措施，更要在代碼上線前對API進行測試，盡力消除可能存在漏洞，將風險降到更低。