根据2018年开放式Web应用程序安全项目（OWASP）IoT Top 10，以下是10大物联网漏洞：

（1） 弱密码、可猜密码或硬编码密码，如短密码、简单密码和可公开获取的密码。

（2） 不安全或不需要的网络服务，安装在设备上，可能会损害信息的机密性，完整性/真实性或可用性，或允许未经授权的远程控制。

（3） 不安全的生态系统接口，设备外生态系统中不安全的Web、后端API、云或移动接口，导致设备或相关组件遭攻陷。

（4） 缺乏安全更新机制，缺乏安全更新设备的能力，包括：缺少对设备的固件验证、缺乏安全交付（传输中未加密）、缺乏防回滚机制、缺少因更新而导致的安全更改通知。

（5） 使用不安全或过时的组件，使用已遭弃用的或不安全的、导致设备遭攻陷的软件组件/库，包括操作系统平台的不安全定制以及使用来自受损供应链的第三方软件或硬件组件。

（6） 隐私保护不充分，无法保护存储在设备和生态系统上的私人信息。

（7） 不安全的数据传输和存储，例如在数据传输过程中缺乏访问控制和加密。

（8） 缺乏设备管理，生产过程中的设备缺乏安全支持，导致安全支持较差。

（9） 不安全的默认设置，设备或系统附带不安全的默认设置，或缺乏通过限制操作员修改配置来使系统更安全的能力。

（10） 缺乏物理加固措施，缺乏物理加固措施，导致潜在攻击者能够获取敏感信息以便后续进行远程攻击或对设备进行本地控制。