標籤:

行業安全:最全家用智能設備安全性測試報告

目前物聯網設備大熱,但是他們的安全狀況還遠遠不到最理想的狀態。那麼到底哪些設備是安全的,哪些是不安全的?為了解答這個疑惑,卡巴斯基實驗室的安全研究員索性對目前市面上流行的IoT設備進行了一次大規模的測試。

研究人員分別對以下設備進行了安全測試:智能電池充電器,應用程序控制的玩具車,應用程序控制的智能秤,智能吸塵器,智能熨斗,網路攝像頭,智能手錶以及智能家居控制中心(home hub)。

智能充電器

研究人員在進行測試時,會首先將電池放電,然後再測試重新充電的整個過程,測試的電壓在3到12伏。智能充電器有一個無線模塊,它允許設備所有者通過遠程連接來控制整個充電過程。用戶可以通過更改充電設置,來隨時檢查電池的電量。

一旦開啟充電模式,充電器就會默認切換到「接入點」模式。然後你就可以看到充電器的網頁管理界面。恰巧的是,充電器和管理設備之間連接的過程最容易受到攻擊,因為這個連接一般都使用的是過時且易受攻擊的網路演算法,而不是WPA2。另外,雖然充電器都是有密碼保護的,但預定義的密碼都是「11111」,儘管你可以重新設置更安全的密碼,但由於某種原因,密碼的長度被限制在五位數。而根據目前的暴力破解技術,破解這樣一個密碼只需要四分鐘。除此之外,充電器本身的操作網頁界面根本就沒有密碼保護。一旦連接到家庭無線網,即可立即使用。

此時,你可能會有疑惑:哪個黑客沒事會去攻擊一個智能充電器呢?事實上,目前很少有黑客想要這樣做。原因有兩方面:一方面,在攻擊智能充電器時,攻擊者必須在無線信號的範圍內或者必須通過訪問用戶的無線路由器(順便提一下,這個過程也有很大的安全隱患)。另一方面,對充電器進行破壞也讓黑客得不到什麼實際的好處,除非他們想搞出一些惡作劇,比如燒毀電池等。

總的來說,雖然智能充電器的安全性很差,但由於獲利價值不大,所以攻擊者一般是不會把它作為攻擊目標的,這意味通常情況下你是安全的。但如果充電時發生了一些意外情況,你一定要注意了,你的鄰居可能就是黑客,你必須儘快更改密碼。如果是遠程攻擊的方式,那請及時對你的無線路由器進行固件更新或密碼修改。

智能玩具車

智能玩具車實際上就是裝在輪子上的監控攝像頭,通過無線連接,進入應用程序進行控制。目前銷售的智能玩具車,只會把無線連接作為唯一的介面。對於玩具車的控制,iOS和Android都有對應的控制程序。研究人員認為最可 能的攻擊點就在無線連接過程中,後來經過測試,確實如此。

通過程序可以對智能玩具車執行以下命令:

1.選擇駕駛模式,速度和運行方向。

2.在行駛過程中,可以通過導航攝像頭查看實時路況。

3.選擇監控模式,比如夜視模式。

4.記錄存儲在手機內存中的照片和視頻。

5.通過內置揚聲器播放音樂。

一旦智能玩具車連接到手機,它將成為無需密碼的無線接入點。換句話說,任何連接到它的人都可以發送遠程命令給玩具車,但前提是攻擊者需要知道所發送的命令。如果攻擊者有基本的網路嗅探軟體,就可以通過攔截車輛與控制設備之間的通信,來查看該玩具車當前正在拍攝的內容。

也就是說,這個設備不可能讓攻擊者進行遠程攻擊,因為玩具車的無線信號都是由一定範圍的。但這並不代表就是安全的,如果攻擊者離你很近,你就難逃一劫了。

擁有攝像頭的智能吸塵器

為了弄清楚為什麼智能吸塵器要使用攝像頭,研究人員還頗費了時間,原來裝的攝像頭是為了讓用戶更好的對清潔效果有個及時的判斷。不過就是這個攝像頭,卻成了隱私直播間,感興趣的讀者可以閱讀一下上個月底剛曝出的LG家用電器的漏洞。

智能吸塵器是通過一個特定的應用程序進行管理的,管理模式包括控制移動方向,在清潔時是否進行視頻直播,拍照等。直播視頻會在看完立即消失,而照片則會存儲在應用程序中。

由於吸塵器是通過手機應用程序進行管理的,所以用戶應該先獲得授權。經過測試,該授權過程及其簡單,僅需輸入一個默認密碼即可,而該默認密碼都是在官方說明中寫明的,攻擊者可以很容易就查到。因此,攻擊者只需要連接到吸塵器的接入點,輸入默認密碼,就可以在應用程序中完成吸塵器和手機的配對。配對完成後,他們就可以控制設備了。

此外,在連接到本地網路之後,智能吸塵器不但會出現在本地網路中,而且還會通過Telnet協議顯示給任何連接到該網路的人。雖然連接有密碼保護,但一般很少有人更好密碼,就算更改了,其脆弱程度也抵擋不了暴力破解。

雖然應用程序和設備之間的流量是加密的,但密鑰卻是硬編碼到應用程序的。研究人員發現攻擊者可能會從谷歌應用商店中下載應用程序,進而找到密鑰並在中間人攻擊中使用該密鑰來攻擊通信協議。

當然,與其他Android應用程序控制的連接設備一樣,智能吸塵器也會受到惡意軟體的攻擊,攻擊者在獲得超級用戶許可權後,就可以訪問吸塵器的攝像頭及其控制項的信息。在測試過程中,研究人員還注意到設備本身運行在一個非常舊版本的Linux操作系統上,這可能會使它受到未修補漏洞的一系列其他攻擊。關於這方面的攻擊,研究人員還處於測試當中。

網路攝像頭

網路攝像頭是被黑客攻擊最多的設備,在過去幾年,除了最普遍的盜取許可權進行攻擊之外,網路攝像頭還被用於DDoS攻擊中。

此前,市場上的所有攝像頭所提供的默認出廠帳戶和密碼都是「12345」,並且用戶也不願意更改密碼。不過隨著訪問許可權不斷攻擊的事件逐年增多,對設備安全的保護責任也被推到了供應商的頭上。2016年,供應商為網路攝像頭的使用進行了一系列的安全防護,比如只有設備被激活後,才能使用。而要激活設備,就需要創建一個密碼,並對網路進行相關設置。此外,對創建的密碼的複雜度也有要求,比如密碼應該是由數字+符號組成的。而激活過程,僅需要在能訪問攝像頭的電腦上來執行。

自此以後,如果用戶還是使用默認出廠密碼來登錄,則在使用時廠商都會向用戶發出安全警告。

此外,對於暴力破解,新的安全措施也有應對措施。

除此之外,網路攝像頭的供應商在2016年還開始為固件添加了新的安全功能,比如防止暴力破解,如果黑客嘗試5-6次後,設備會自動阻止對IP地址的訪問。

儘管如此,網路攝像頭還是有被攻擊的風險。例如,設備與雲端交換數據是通過HTTP進行的,而攝像頭的序列號是它的ID,這顯然可以被中間人攻擊利用。

除了為攝像頭提供標準的網路介面外,廠家還專門為它配置了一個工具,以便用戶可以方便地搜索網路上的攝像頭,查到相關設備參數。另外,用戶還可以通過該工具執行一些基本設置,包括激活設備,修改密碼等。當用戶進行設備搜索時,操作設備就會發送一個乙太網幀(Ethernet frame)。

另外,攝像頭的響應並未加密,響應的信息包含固件,日期重置和網路設置等型號信息。由於這些數據都是以非加密的方式傳輸的,而且這個請求不需要經過授權,所以這個乙太網包可以檢測到網路上的所有攝像頭,並且獲得關於它們的詳細信息。另外,在形成響應時,攝像頭還沒有考慮到響應時間的延遲,這很容易形成DDoS攻擊,並將這些請求發送給搜索到的所有攝像頭。

除了所描述的特定協議之外,攝像頭還支持用於發送通知的標準SSDP協議,這就允許任何軟體或硬體自動檢測攝像頭,此SSDP數據還包含有關攝像頭型號和序列號的信息。

另外一個對攝像頭的攻擊手段就是遠程對密碼進行重置,這主要依賴於技術服務。任何有機會訪問攝像頭網路的人都可以通過攝像頭配置的專用工具選擇攝像頭並請求重置程序。這樣,攝像頭就會創建一個包含攝像頭序列號的小文件。當該文件被發送到技術服務後,該服務要麼拒絕請求,要麼發送特殊代碼對密碼進行重置。可怕的是,該服務甚不會檢查用戶是否就是設備的擁有者。

智能浴室秤

對於那些非常在乎體重的人來說,如果真實的體重被人公開了,那無疑會讓人非常難堪。一般的人都會在洗完澡後,測一下自己的凈重,而智能浴室秤恰恰能滿足你的需求,它會自動記錄你的每次體重,而且對你提出合理的建議。

智能浴室秤通過其中內置的藍牙與智能手機應用程序進行交互,無線連接為用戶提供了許多遠程操作功能,比如,用戶可以登錄自己的個人賬戶,對體重進行監測,除了體重外,個人賬戶還會對你的健康狀況進行分析,如果你願意的話,你還可以點擊賬戶中所推薦的其它醫療保健應用程序。有趣的是,智能浴室秤同時也配備了無線模塊,不過經過調查,無線連接的唯一功能就是對天氣狀況進行更新。

研究人員決定使用ARP欺騙和中間人攻擊來測試區域網中指定設備上的任意更新或軟體安裝的可能性。

手機通過HTTPS與主伺服器交互,進行一系列查詢。由於智能浴室秤本身是通過藍牙連接到手機的,所以配對的過程很簡單:首先通過應用程序請求連接,然後打開秤的藍牙連接即可。不過這個配對過程的時間非常短,攻擊者需要提前對秤的信息有個提前了解,否則很難完成配對。

智能浴室秤還可以通過藍牙傳輸各種用戶數據,比如郵件,體重指標等。當秤在收到更新請求後,它會將當前版本的更新和許多其它參數先發送到伺服器,然後伺服器又將對應的下載文件及其校驗和傳遞過來。

但是,更新是在HTTP通道上進行的,不但HTTP通道沒有加密,就連更新本身也沒有加密。因此,如果攻擊者能夠探測到連接到設備的網路,那就能夠欺騙伺服器的響應或更新過程。

在測試過程中,研究人員會先對更新版本進行「roll back」處理,然後安裝一個從伺服器檢索到的修改版本,不過該版本已經被攻擊者對過手腳了。如果這一步得逞了,則攻擊者就可以在設備上安裝任意惡意軟體了。

智能熨斗

說實話,我也是第一次聽說還有這種智能設備的,不知道黑客對它進行惡意攻擊有什麼意圖?

智能熨斗用的是藍牙連接,可通過移動應用程序實現多種遠程管理模式。研究人員首先做了一個假定,認為熨斗與伺服器的通信過程是不安全的,黑客可以利用這一過程式控制制設備並獲取敏感信息。

目前智能熨斗的應用程序在iOS和Android上都有,一旦攻擊者通過通信過程連接到用戶的手機上,就可以通過應用程序進行如下操作:

1.查看熨斗的方向,

2.禁用熨斗,

3.激活安全模式(在這種模式下,熨斗不會對手動開關做出反應),如果要在手動控制熨斗,用戶就需要關閉應用程序中的安全模式。

為了安全,電熨斗對安全做了一些特別的設置,比如在電熨斗在平放的時候,如果五秒鐘內沒有移動,或豎著放的時候八分鐘內沒有移動,熨斗就會自動關閉。

除了用藍牙外,電熨斗也可以通過無線網被控制。為此,用戶有必要對和電熨斗使用同一網關的其它設備進行安全設置,如智能手機或平板電腦以及接入的其它應用程序。

鑒於此,研究人員決定仔細對電熨斗的應用程序進行研究。其中,iOS有一個應用程序,Android有兩個應用程序。第一個Android應用程序用於附近的藍牙管理設備,另一個Android應用程序則是用於無線控制的,用戶可以遠程操作。而iOS的應用程序用於藍牙管理。儘管有三個應用程序,但它們的編碼都沒有經過混淆處理。

在查看在線通信時,研究人員發現Android藍牙應用使用了HTTPS,這是一個明智的緩解方案,而iOS的應用程序和Android的無線應用程序則都沒有使用這一安全措施。下面研究人員就決定測試一下iOS應用程序的通信安全。

打開應用程序,就會出現一個註冊的界面,然後通過HTTP發送沒有加密的數據。這就為研究人員提供了一個非常簡單的攻擊向量,比如對移動應用程序和伺服器之間的通信進行攔截。

如前所述,手機還使用藍牙與熨斗進行通信,而藍牙通信也是不加密的。經過對應用程序的藍牙通信深入研究,研究人員發現,只需查看設備之間傳輸的內容,即可通過創建特定的命令來控制電熨斗。

所以,如果你是一個黑客,你會選擇什麼樣的攻擊方式呢?如果你能夠獲取用戶的登錄憑據,那麼你就能進入應用程序,從而關閉熨斗或將其設置為「安全模式」。不過需要注意的是,有的設備的應用程序可同時管理其它智能設備,比如這些設備都是由一家製造商生產的,如果是這樣,那造成的攻擊面就會大很多。

如果你沒有機會獲取登錄憑證,不要緊。由於應用程序和設備之間的數據交換沒有加密,你可以通過攔截從伺服器傳輸到應用程序的令牌,然後創建自己的命令。

歸納一下,攻擊者可以在本地網路中執行以下攻擊:

1.盜取用戶身份信息(電子郵件,用戶名,密碼)。

2.勒索用戶,就是啟用電熨斗的「安全模式」,讓用戶無法手動控制熨斗,如要恢復手動控制,請給錢。

智能家居控制中心

目前絕大多數智能設備存在的最大問題是,它們都是獨立運行的,且需要自己的獨立應用程序才能運行,這些設備並未集成到統一的智能生態系統中。雖然目前所謂的智能應用中心(smart hub)部分地解決了這個問題,即在一個管理界面實現了多個獨立智能設備的管理操作。雖然由其他研究人員進行的尋找安全智能集線器的現有技術雖然留給希望的空間不大,之前,關於無線智能家居技術zigbee與z-wave,網路上曾一度炒的沸沸揚揚。近幾年,隨著面向家庭控制及自動化短距離無線技術的發展,家庭智能化所帶來的機遇正成為現實。在已出現的各種短距離無線通信技術中,ZigBee憑藉領先的技術和性能水平成為這一新興市場上的佼佼者。不過,Z-Wave的出現成為強有力的競爭者。儘管ZigBee技術的傳輸速率更快,可容納的節點數更多,開放性更強;但Z-Wave似乎結構更簡單、成本更低、接收靈敏度更高。

此外,智能應用中心還能充當無線路由器。考慮到智能應用中心設備同時集合了所有的功能(路由器,無線範圍擴展器,接入點或無線網橋),研究人員決定檢查那些與未經授權的外部訪問路由器相關的最常見和最危險的風險。如果對家居控制中心攻擊成功的話,很可能會導致黑客對其中所有連接的設備進行攻擊。

經過測試,研究人員確實發現這種攻擊的可能性。研究人員通過創建一個本地網路,連接一台計算機,一台智能設備和一台路由器進行了測試。測試中,所有連接在網路中的智能設備都會收到其IP地址,之後,研究人員成功地掃描了所有可用的埠。最初的研究表明,默認情況下,WAN上有兩個開放的埠。第一個埠是80埠,它是最常用的HTTP協議之一。由於它是計算機從網路伺服器發送和接收基於網路客戶端的通信和消息的埠,所以80埠會被用於發送和接收HTML頁面及其相關數據。如果這個埠被攻破,則意味著任何人都可以連接到埠80,從而通過HTTP協議訪問用戶的所有設備。

第二個埠是22埠,它用於連接SSH(Secure Shell)伺服器,從而對設備進行遠程控制。如果攻擊者能夠盜取或暴力破解root密碼,則攻擊者就可以訪問所有設備。雖然這個攻擊方法很難實現,然而,在測試中,研究人員利用智能應用中心探索出了一個更加簡單有效的攻擊方法。

在分析路由器時,研究人員發現智能家居控制中心可能會遇到一個非常常見的攻擊風險——弱口令(weak password) 漏洞。在路由器系統中,研究人員用名稱列表找到了ELF(可執行和可鏈接格式)文件「rname」。通過查看該列表和在屏幕上顯示的密碼(很明顯,設備的密碼是基於該文件的名字生成的),口令很快就能被暴力破解出來。

在硬複位後,密碼的源代碼行保持不變,只是符號略有變化。但是,由於主密碼保持不變,固仍然有機會生成密碼。

另外,研究人員發現,用戶在對設備進行訪問時,會不斷使用一個根帳戶。這樣,攻擊者就會知道密碼的登錄信息,這將極大地方便黑客攻擊。

如果設備具有公共IP地址並且已經打開了上述所講的兩個埠,則可以實現從外部網路來訪問路由器。又或者,如果提供商或ISP(互聯網服務提供商)不正確地配置本地網路的鄰居主機的可見性,則家居中心的設備將可以在同一ISP內的整個本地網路中使用。

總的來說,家居中心的安全性測試如此之差並沒有讓研究人員感到驚訝。就像市場上的大多數物聯網產品一樣,一旦該設備被入侵就會造成非常大的攻擊面。攻擊不僅覆蓋了設備本身,而且還涉及到了它所運行的網路。

智能手錶

在研究過程中,智能手錶的安全性讓研究人員眼前一亮,雖然或多或少也存在一些漏洞,但至少不會像其它設備一樣,擔心私人數據泄露或其他大面積地破壞。和大多數設備一樣,智能手錶也需要通過一個應用程序將它與手機進行配對連接。這樣,智能手錶就和手機、應用程序、產品提供的雲服務之間開始進行數據交換,不過通過檢測,這些數據的加密性都非常的強,如果要實施攻擊,就必須對加密協議進行深入研究。

在連接應用程序時,用戶會使用顯示在手錶上的PIN碼,以獲得成功授權。由於PIN碼是隨機生成的,而不是後台生成的。所以在應用程序中輸入PIN碼後,手機和手錶就會創建加密密鑰,所有後續的通信都將被加密。因此,即便藍牙流量被攻擊者攔截,他們也必須對其進行解密。

另外,直接從設備獲取用戶數據(步數,心率等)顯然也是不可能的。因為手錶和手機進行同步傳輸的數據也是被加密過的,不但如此,就連發送到伺服器數據也是加密的。

可以這麼說,這是研究人員看到過的,對產品採取真正負責任的僅有例子。

總結

根據所做的一系列安全測試,研究人員發現許多物聯網設備的開發商都有以下的安全假設:

1.本公司的產品僅限於某某功能,即使被攻擊,也不會產生大面積的危害。

2.對於物聯網設備來說,對它們的攻擊一定是發生在攻擊鏈的最後,比如攻擊者要攻破設備與網路的通信連接時,還要先獲得訪問設備所連接的本地網路的許可權。

客觀地講,供應商的這些假設都是合理的,但前提是它們的設備單獨的被管理且沒有被集成到智能應用中心,除此之外,它們所使用的網路的安全性也需要非常好。否則這些假設,只是自我幻想而已。想像一下如果一間辦公室或一個住戶家裡的物聯網設備都有這樣或那樣的漏洞,那這麼多漏洞加起來得有多危險,想想都可怕。

所以研究人員最後得出的結論是,目前還很難找到一個非常安全的物聯網設備。但從另一個角度來說,非常安全的物聯網設備也是不存在的,因為無論你購買哪種設備,只要你將它們連接到網路或智能應用中心之後,它就不是一個單獨的個體,它的安全性取決於整體的安全性,比如網路的安全防護能力,但現實情況是網路隨時隨地都有被攻擊的風險。因此,從理論上來講追求物聯網設備的安全性就像追求網路的安全性一樣,永遠不可能有一成不變且持久的方法。

是不是聽了這些分析,你對物聯網設備產生了一種恐懼和抗拒心理,今後再也不計劃買它們了?其實大可不必,講了這麼許多,就是讓你進行客觀地了解,並躲開這些坑。

安全購買指南

1.你要在購買時評估一下設備的安全風險,看看這些風險你是否能有效地避免。

2.對於一些安全風險很高的設備配置,看看你是否真的需要開啟,比如吸塵器的攝像頭。

3.在購買物聯網設備之前,請在互聯網上先搜索一下相關設備的漏洞信息。由於物聯網現在是一個非常熱門的話題,很多研究人員都在從事這方面的研究。所以你打算購買的設備很可能已經被安全研究人員研究過,並且已經找出了修補方法發。

4.建議不要購買市場上最新推出的產品,因為這些新產品中出現的漏洞,可能還未被安全研究人員發現,最好的選擇是購買已經經過多次更新升級的產品。

本文翻譯自:securelist.com/iot-lott ,如若轉載,請註明原文地址: 4hou.com/system/8914.ht 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

Web 網頁爬蟲對抗指南 Part.2
使用LuaQEMU對BCM WiFi框架進行模擬和利用
CouchDB 的遠程代碼執行漏洞淺析
比「壞兔子」更可怕,數千網站正被惡意利用

TAG:信息安全 |