IoT安全之設備安全性亟需提高

IoT設備廠商製造的產品集成了很多流行的網路應用，越來越多的用戶看到了IoT設備的實用性和價值。易於集成和是否能加入到現有家庭網路中是許多用戶購買的主要考慮因素。雖然易操作的設備很受用戶青睞，但是這些產品也可能會引入一些安全問題。

為了證明IoT設備的安全性以及攻擊者可以攻擊IoT設備到什麼程度，作者測試了聯網揚聲器的內置安全性。

A Sound Hack

在題為The Sound of a Targeted Attack的研究中，作者測試了一個主流的揚聲器Sonos Play和Bose SoundTouch的安全性，發現該設備會暴露用戶數據和相關信息，這些信息可以被用來發起攻擊。Sonos公司對這些漏洞進行了迅速響應，這些漏洞包括一個返回412HTTP錯誤碼的DoS攻擊。而Bose公司尚未對漏洞進行響應。

之前的研究主要是獲取對Amazon Echo和Google Home這類揚聲器的控制權，而本次研究不同。本次研究的結果包括開放的無用埠，讓任何人都可以通過互聯網訪問設備和用戶信息。其中一個重要發現是攻擊者可以訪問與設備音樂流進行同步的郵箱地址。另一個重要發現是，可以對同一網路上共享文件夾的設備列表進行訪問。最終，可以看到BSSID信息和設備的活動（包括正在播放的歌曲），遠程控制設備，通過URI路徑播放可取等等。

這些發現遠比失去對IoT設備的控制權要嚴重得多。聯網的揚聲器（IoT設備）可能會泄露用戶的一些隱私信息，攻擊者可能利用這些信息來對用戶發起攻擊。就Sonos Play來說，不僅可以對家用網路進行攻擊，也可以對企業網路進行攻擊，毫無疑問，這是需要引起重視的。

攻擊IoT設備的先決條件

下面是攻擊者發起攻擊所需要的一些先決條件，這些是研究者對Sonos speaker進行測試得出的結果。

· 連接互聯網的設備。攻擊者首先要通過shodan這樣的搜索引擎去尋找連接互聯網的設備。

· 設備的不安全性。設備要有能被攻擊者利用的一些安全漏洞或bug，比如缺乏認證、為修復的漏洞、信息泄露等。

· 利用設備的功能。IoT設備的種類和功能都不同，一些設備可能擁有攻擊者可以利用的獨特的功能。

· 可用的PII信息。通過搜索攻擊、社交媒體、泄露的數據等方式去搜索。

攻擊場景

場景1：攻擊者可以根據目標的音樂喜好發送釣魚郵件。

通過Nmap掃描，發現允許Sonos Play的應用在TCP 1400埠進行通信。下面是一個不需要認證的URI頁面。

這個URI指向的站點是用來計算控制設備的應用數量，包括不需要認證就能看到的信息、當前正在播放的信息、連接設備的庫的信息、控制揚聲器的設備信息、同一網路中揚聲器的設備信息、與設備同步的音頻流服務相關的郵箱地址等。

暴露的信息不只是家用用戶，在工作場景下，暴露的設備和同一網路中的IoT設備信息會給攻擊者提供足夠的工作網路信息。攻擊者可以尋找有漏洞機器設備，並用這些機器來收集更多關於攻擊入口的信息。

除了尋找攻擊入口，攻擊者也可以用收集到的信息進行魚叉釣魚攻擊。通過研究目標的音樂喜好，攻擊者可以製作一個適合該用戶的釣魚郵件發送給前面發現的那個關聯郵箱地址。這就增加了黑入企業網路的成功率。任何可以泄露個人和網路信息的IoT設備都會增加攻擊的成功率。

場景2：攻擊者可以記錄目標的家庭地址和在家狀態

這可以通過一個有多個WiFi定位源的網站來實現。在研究中，研究人員通過查詢與測試設備相關的BSSID，並在地圖中進行了標註。這些信息來源於設備在安裝時嘗試訪問的無線AP。

在地圖中找到目標的位置後，攻擊者可以監控設備中的數據，比如揚聲器被開啟和關閉的時間和次數。這種模式或多或少可以向攻擊者透露目標開啟、休眠的時間。這可能會給用戶帶來實質上的威脅，比如：盜竊等。

場景3：攻擊者展示偽造的記錄消息，誘導用戶下載惡意軟體

利用URI路徑中的信息，比如模式號和序列號，攻擊者可以中斷用戶設備、暫停當前播放、播放含有誤導信息的偽造狀態消息。

與攻擊場景1類似，攻擊者可以發送偽造的郵件到用戶郵箱。場景3中的郵件含有惡意軟體的下載鏈接，當然這個鏈接顯示的是給用戶的軟體升級。為了讓郵件看起來更可信，攻擊者可以從網路搜索用戶的公開信息，並加入到發給用戶的惡意郵件中。這種方案給用聯網的揚聲器和實施Bring your own device方案的公司帶來巨大的威脅。

Risky Business

事實上，目前IoT設備還可以保護用戶信息並且引入網路中後會帶來安全威脅。網路犯罪者會嘗試用各種方式來濫用這些IoT設備。隨著IoT設備的產量和銷量不斷增加，缺乏安全機制的IoT設備會越來越成為一個嚴重的問題。如果所有這些設備通過網路和Internet互相連接，那麼黑掉一個用戶或者整個網路都是可行的。IoT設備的利用漏洞導致個人信息泄露和各種攻擊不斷出現，並且會持續增加。

最近就有一個兒童智能手錶的安全事件。事件中，攻擊者可以利用智能手錶的漏洞記錄主人的移動、竊聽會話，甚至可以與穿戴者進行交流。這說明主流的設備廠商的產品也是有安全隱患的。這些不安全的網連設備不僅給家庭用戶帶來威脅，而且當這些看似安全的IoT設備引入公司網路後，也會給工作環境帶來威脅。

緩解IoT設備的不安全問題

如果IoT設備需要連接到互聯網，那麼生產商必須清楚他們生產的設備會給用戶帶來多少安全威脅。儘管用戶也有責任需要在終端進行一些保護（如應修補程序），但生產廠商也應該確保他們的產品對用戶不會帶來安全風險。

當IoT設備連接到互聯網，不應該直接的暴露到互聯網中。在測試設備時，製造商應確保連接到設備的埠不能直接從互聯網訪問。廠商要確保數據存儲和編譯的數據的安全，而且要進行安全審計。

同時，用戶和企業IT管理人員不應該太依賴於生產商來解決安全問題。用戶應該在路由器中設定相應的規則，來控制對網路上設備和文件夾的訪問。如果必須要訪問，那麼應該限制為儘可能少的設備。要確保設備上的密碼保護，用強密碼替換默認密碼。

用戶可以訪問WhatsMyIP這樣的網站來掃描網路中開放的埠。確保IoT設備的固件及時更新。如果企業實施了BYOD，那麼要確保提供相應的安全指南。

更多攻擊場景的細節請查看：The Sound of a Targeted Attack

本文翻譯自：http://blog.trendmicro.com/trendlabs-security-intelligence/IoT-devices-need-better-builtin-security/如若轉載，請註明原文地址： http://www.4hou.com/info/news/9537.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：