極客網(wǎng)4月10日(北京)隨著物聯(lián)網(wǎng)技術(shù)和相關(guān)設(shè)備逐步進(jìn)入大眾的視線當(dāng)中,其存在的安全隱患也成為了外界熱議的話題。最近,應(yīng)用安全公司Veracode的研究者就對6款智能家居設(shè)備進(jìn)行了安全測試,結(jié)果發(fā)現(xiàn)其中5款都存在嚴(yán)重安全問題。
所測試的這6款設(shè)備包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多種家庭自動化設(shè)備和傳感器的幫助下——包括門鎖、開關(guān)和電源插座——所有這些設(shè)備都可通過互聯(lián)網(wǎng)實現(xiàn)遠(yuǎn)程控制和監(jiān)控功能,它們中的大多數(shù)還可連接至基于云端的服務(wù),用戶則可通過網(wǎng)頁端口或智能手機(jī)應(yīng)用與之進(jìn)行交互。
并沒有試圖尋找這些設(shè)備固件當(dāng)中的漏洞,而是對它們的工作方式及使用的通訊協(xié)議進(jìn)行了分析。安全專家們查看了這些設(shè)備的前端(用戶和云服務(wù)之間)和后端(設(shè)備和云服務(wù)之間)連接,在前端連接方面,他們發(fā)現(xiàn)只有SmartThings Hub執(zhí)行了強(qiáng)密碼,而Ubi甚至沒有對用戶連接進(jìn)行任何加密,這無疑給中間人攻擊創(chuàng)造了可能。
而在后端連接這一塊,這些設(shè)備的表現(xiàn)更加糟糕。Ubi和MyQ Garage沒有執(zhí)行加密,沒有提供對抗中間人攻擊的必要保護(hù),對于重放攻擊也毫無防御力。此外,Ubi也沒有對敏感數(shù)據(jù)進(jìn)行適當(dāng)?shù)谋Wo(hù)。
除了SmartThings Hub之外,這些設(shè)備都不具備中間人攻擊保護(hù),因為它們要么完全沒有使用安全傳輸層協(xié)議(TLS)加密,或是沒有使用適當(dāng)?shù)淖C書驗證執(zhí)行TLS加密。
這種情況表明,廠商在產(chǎn)品設(shè)計階段都是假定它們未來所運(yùn)行的網(wǎng)絡(luò)環(huán)境都是安全的,但事實顯然并非如此。從過去幾年里的安全研究中我們可以看出,如果說有什么東西的安全性比物聯(lián)網(wǎng)設(shè)備還要差,那就是消費(fèi)類路由器了。安全專家經(jīng)常會在路由器當(dāng)中發(fā)現(xiàn)嚴(yán)重的安全漏洞,它們中的大多數(shù)可讓黑客執(zhí)行中間人攻擊,也導(dǎo)致了數(shù)以百萬計的路由器被用于大規(guī)模的攻擊。
物聯(lián)網(wǎng)廠商對于家庭網(wǎng)絡(luò)安全的錯誤信任也反映在了旗下產(chǎn)品暴露于這些網(wǎng)絡(luò)中的調(diào)試接口和其他服務(wù)。
的研究者發(fā)現(xiàn),Wink Hub會在80端口運(yùn)行未認(rèn)證的HTTP服務(wù),Wink Relay會運(yùn)行可通過網(wǎng)絡(luò)訪問的ADB服務(wù),Ubi運(yùn)行ADB和VNC(遠(yuǎn)程桌面)服務(wù)時都不需要密碼,SmartThings Hub所運(yùn)行的Telnet服務(wù)器受到了密碼保護(hù),MyQ Garage所運(yùn)行的HTTPS服務(wù)會暴露基本連接信息。
在Wink Relay和Ubi這兩款設(shè)備身上,暴露的ADB接口可向攻擊者提供root權(quán)限,讓他們得以在設(shè)備上執(zhí)行任意代碼和命令。
在云端服務(wù)方面,Veracode的研究者雖然沒有直接對這些服務(wù)的安全性進(jìn)行分析,但他們還是考慮到了幾種可能出現(xiàn)的情況,比如如果攻擊者獲取到了用戶賬戶、截獲了與之接近的連接、或是徹底沖破云服務(wù)會發(fā)生什么。他們得出的結(jié)論是,這些情況會導(dǎo)致嚴(yán)重程度不同的安全問題,輕則暴露敏感信息,重則致使設(shè)備徹底被控制。
廠商并沒有清楚地向用戶解釋這些設(shè)備對于云服務(wù)的依賴,但他們的確應(yīng)該如此——因為并不是每一位用戶都意識到,他們并不是直接和設(shè)備進(jìn)行交互的。當(dāng)使用配套的移動應(yīng)用時,控制信號實際上需要通過由第三方運(yùn)營的服務(wù)才會被傳遞到設(shè)備當(dāng)中。這同時也意味著,需要獲得安全措施保護(hù)的不僅僅是硬件設(shè)備本身,還包括網(wǎng)絡(luò)服務(wù)。
根據(jù)這些分析結(jié)果得出的結(jié)論是,這些測試設(shè)備的設(shè)計師“沒有足夠重視安全和隱私,從而把消費(fèi)者置于網(wǎng)絡(luò)攻擊或物理入侵的風(fēng)險當(dāng)中”。
舉個例子,Ubi設(shè)備所收集的信息可讓不法之徒了解到你家里是否有人(根據(jù)環(huán)境噪音或燈光)。此外,通過利用Ubi或Wink Relay所含的漏洞,攻擊者可以使用設(shè)備的麥克風(fēng)進(jìn)行竊聽。
但所幸的是,不同于路由器這種設(shè)備,許多物聯(lián)網(wǎng)設(shè)備都具備自動升級的能力。因此當(dāng)發(fā)現(xiàn)問題時,廠商可以輕松地推送修復(fù)升級。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )