安全預警:物聯網惡意軟體很快將包圍我們
本周在羅馬尼亞布加勒斯特舉辦的2016DefCamp安全會議上,Fortinet高級研究人員Axelle Apvrille表示,只要涉及物聯網設備,無論是智能眼鏡還是聯網汽車只要防護措施不當,都很容易受到惡意軟體感染。
近日,利用物聯網設備進行大規模DDoS攻擊的事件已佔據新聞頭條,監控攝像機、硬碟錄像機和網路路由器等脆弱的物聯網設備都被布置於殭屍網路中(例如Mirai 和Bashlite等),用於發起大規模DDoS攻擊。但是惡意軟體的攻擊目標涉獵更廣泛,包括智能玩具、家用電器甚至智能穿戴等等。研究人員表示,事實上,對於這些物聯網設備和其使用者而言,未來可能是非常危險的。
Apvrille在大會中表示:「物聯網惡意軟體的最終目的是金錢。惡意軟體的開發者追求的是金錢,其他惡意軟體實施者的驅動因素亦如此。」
Apvrille解釋稱,目標設備的計算能力其實並不重要。因為只要這些設備存在網路連接,就可以發送垃圾信息和實施分散式拒絕服務攻擊。尤其是Mirai已經證實這些設備其實很容易被攻破之後,惡意軟體的開發者們開始對它們越來越感興趣。
安全研究人員解釋稱:「如果一個設備存在固件,那麼攻擊者就可能在其上安裝惡意軟體,因為它不需要複雜的惡意代碼。事實上,這些惡意軟體只需要佔用4個位元組的內存就足夠了。」
Apvrille解釋稱,被攻擊者鎖定的設備並不複雜,所以物聯網惡意軟體完全包圍我們可能不會需要多久的時間了。攻擊者只需要發現並利用一個漏洞切入點,就可以使整個家庭和公司的聯網設備被惡意軟體感染。
先前,安全研究人員解釋稱,物聯網惡意軟體的主要目的是發動DDoS攻擊,但是Apvrille認為,這些設備也可以處於其他的惡意目的被感染,包括勒索軟體、木馬和間諜軟體等。
在DefCamp 2016大會的演示期間,Apvrille不僅論證了所有的物聯網設備都很容易被攻破外,她還演示了感染這些物聯網設備的惡意軟體程序是多麼簡單,一個功能齊全的惡意軟體可能只有幾十行代碼構成。
Apvrille還在大會上演示了如何通過一個勒索軟體將運行Android系統的智能眼鏡停止工作,或是記錄用戶的行為,並對用戶進行勒索,威脅其將視頻發布到網上等。
惡意代碼可以通過垃圾郵件實現安裝,這是目前比較流行的做法。其他的攻擊向量,如惡意的圖像也可以使用。研究人員演示了攻擊者是如何將惡意軟體偽造成一個看似良性的形象,但是一旦受害者打開就會自動安裝惡意軟體的過程。
如果你認為這些智能眼鏡只會被勒索軟體鎖定為攻擊目標,那你就太過天真了。現在每天幾乎都會出現大約5000種惡意軟體新變種,智能眼鏡也同樣可能淪為他們的攻擊目標。缺乏網路連接使得這類設備的操作系統升級存在困難,這也就意味著只要他們使用這些設備,漏洞修補的問題就將持續困擾著他們。
研究人員表示,智能手錶也是脆弱的,受到的惡意軟體攻擊類型可能更多。這些設備通常被設計成智能手機的附屬品,網路犯罪分子正嘗試用過智能手錶入侵智能手機。
所有類型的聯網設備都可能受到惡意軟體的攻擊,但是它們的攻擊頻率可能與價格呈現正相關。因為更加昂貴的設備可能會為攻擊者帶來更高的利益,這也增加了設備遭到感染的機率。而有些設備受到感染帶來的後果可能是血的代價。
上個月,Rapid7研究員Jay Radcliffe發現Animas公司推出的OneTouch一觸式胰島素泵產品受到多項安全漏洞影響,這意味著黑客能夠以遠程方式利用其對使用該胰島素泵產品的用戶造成人身危害。儘管相關安全漏洞危險程度極高,但供應商並不准備通過固件升級進行修補,因為他們認為發生此類事故的風險仍然很低。
根據Apvrille所言,惡意軟體開發者可以在胰島素泵或是血壓監測設備上安裝勒索軟體,通過威脅受害者生命進行贖金勒索。
網路犯罪分子同樣可以攻擊聯網汽車,威脅其不在規定時間內交付贖金就禁用汽車的關鍵功能。如果將汽車交給修理廠,可能會浪費大量的時間且花費的金錢可能也與勒索的金額差不多,所以大部分受害者都會選擇交付贖金。安全研究人員已經證實聯網汽車上存在的漏洞確實可能造成這種情況發生。
與物聯網設備相關的安全風險之前已經討論過,但是最近隨著Mirai等殭屍網路的出現,物聯網設備安全再次成為輿論焦點。然而,物聯網設備的安全問題不應該只考慮DDoS殭屍網路、勒索軟體、間諜軟體以及木馬等,還要考慮更多的破壞性惡意軟體。上周早些時候,一組安全專家演示了一個物聯網蠕蟲是如何攻擊整個城市的照明設備,更重要的是部署這種攻擊的成本是相當便宜的。
Cigital公司的Jim Ivers在最近的訪談中表示:「惡意軟體已經發現了阻力最小的方案,Mirai殭屍網路就是最好的證明。消費者使用物聯網設備通常並不具備安全意識。這些設備的軟體、硬體、固件以及操作系統是夠足夠對抗網路攻擊。如果存在密碼,其脆弱性將導致文檔會被廣泛暴露於互聯網中。」
由於漏洞頻現加之缺乏安全標準,智能家居中的任何物聯網設備都可能成為惡意軟體攻擊的入口。通過攻破一個牙刷、烤麵包機或是一個冰箱等,攻擊者就可以將惡意軟體感染到家中的其他聯網設備中,包括電腦和智能手機等。
註:本文參考來源於securityweek
推薦閱讀:
※物聯網風口還沒起來 IBM又在畫餅了
※通用電氣(GE)的Predix平台和西門子的MindSphere是開源的嗎?二者有什麼異同?
※什麼是物聯網(Internet of Things)?
※美國網路癱瘓,中國公司竟是幫凶?
TAG:物联网 |