本文作者:Rob Pegoraro
無線運(yùn)營商可能是下一個(gè)要艱難學(xué)習(xí)物聯(lián)網(wǎng)設(shè)備帶來的安全風(fēng)險(xiǎn)的角色。這一警告來自柏林工業(yè)大學(xué)高級(jí)安全研究員 Altaf Shaik最近在Black Hat 信息安全會(huì)議上的簡報(bào)。
“在 5G 方面,威脅越來越大,而且影響也相當(dāng)大,因?yàn)樵谶@里黑客可以針對整個(gè)行業(yè),而不僅僅是單個(gè)用戶,”Shaik 在這個(gè) 40 分鐘的演示開始時(shí)說道。
點(diǎn)擊此出下載配PDF演示稿
這里的核心問題是 5G 在連接人(正如Shaik 在去年的黑帽會(huì)議上的演講中所探討的那樣,通過 5G 獲得顯著的隱私升級(jí))和機(jī)器方面的效用。運(yùn)營商現(xiàn)在正在通過向這些客戶可以通過新 API 直接管理的企業(yè)提供物聯(lián)網(wǎng)服務(wù),將后者的功能轉(zhuǎn)變?yōu)樾碌臉I(yè)務(wù)線。
“第一次,4G 和 5G 網(wǎng)絡(luò)正試圖帶來這種網(wǎng)絡(luò)曝光,”Shaik 說?!皩S薪涌诂F(xiàn)在正在發(fā)生變化,并慢慢轉(zhuǎn)向通用或商品化技術(shù),如 API?!?/p>
“因此,現(xiàn)在任何外部實(shí)體都可以通過使用服務(wù) API 并通過 4G 或 5G 核心網(wǎng)絡(luò)來實(shí)際控制他們的智能設(shè)備,”Shaik 引用了沃達(dá)豐在德國對無人機(jī)進(jìn)行的測試說。“這個(gè)暴露層為無人機(jī)控制中心提供 API 和共享信息?!?/p>
運(yùn)營商將這些物聯(lián)網(wǎng)服務(wù)出售給愿意批量購買 1000 件或更多物聯(lián)網(wǎng) SIM 卡的企業(yè)(通過稅號(hào)進(jìn)行驗(yàn)證)。反過來,這些企業(yè)客戶可以通過物聯(lián)網(wǎng)連接管理 Web 界面管理這些 SIM 卡,物聯(lián)網(wǎng)服務(wù)平臺(tái) Web 界面提供賬戶范圍的控制。
“只要您能夠訪問這些 API,您就可以做很多事情,”Shaik 總結(jié)道。
愿意妥協(xié)
但是,配置或管理不善的 API 可能會(huì)打開其他客戶的物聯(lián)網(wǎng)設(shè)備,甚至可能會(huì)破壞運(yùn)營商的核心網(wǎng)絡(luò)。例如,攻擊者可能首先利用漏洞“獲取托管在同一平臺(tái)上的任意用戶的數(shù)據(jù)”,然后嘗試破壞運(yùn)營商的應(yīng)用服務(wù)器——然后可能“從那里滲透到移動(dòng)核心網(wǎng)絡(luò),因?yàn)樗鼈兪窍噙B的”謝克繼續(xù)說道。
他和同樣來自柏林工業(yè)大學(xué)的研究員 Shinjo Park 和來自 NetStudio Spa 的 Matteo Strada 通過從九個(gè)服務(wù)中購買物聯(lián)網(wǎng) SIM 卡,然后測試它們是否存在可能的弱點(diǎn)來測試這一點(diǎn)。
(Shaik 沒有說出他們的名字,但一張幻燈片將其中三家描述為網(wǎng)絡(luò)運(yùn)營商,并將六家列為 MVNO。他后來在談話中說,大多數(shù)在歐洲,兩個(gè)“可能”在美國,一個(gè)在亞洲。)
他的頂級(jí)結(jié)論:“還有很多東西缺失。”
研究人員很容易獲得商業(yè)物聯(lián)網(wǎng)賬戶,Shaik 說這反映了了解你的客戶的合規(guī)性差:“許多提供商的客戶驗(yàn)證非常寬松,當(dāng)我們試圖與提供商爭論時(shí),我們真的沒有一個(gè)很好的回應(yīng)?!?/p>
他們還發(fā)現(xiàn)缺乏基本的帳戶安全性,“接受了很多字典密碼”——無論是在創(chuàng)建帳戶時(shí)還是在之后更新它們時(shí)。
研究人員隨后發(fā)現(xiàn),這九家公司中有四家使用靜態(tài)令牌進(jìn)行服務(wù)平臺(tái)授權(quán),有效期從 24 小時(shí)到一周不等,這違反了要求 OAuth 登錄的GSMA 準(zhǔn)則。九個(gè)中的三個(gè)沒有使用 HSTS(HTTP 嚴(yán)格傳輸安全)完全加密 Web 門戶訪問,這是針對中間人攻擊的關(guān)鍵防御。
對物聯(lián)網(wǎng) API 的動(dòng)態(tài)分析發(fā)現(xiàn)對安全性的進(jìn)一步忽視,首先是運(yùn)營商向演示用戶公開甚至“敏感功能”的案例。當(dāng)被問及時(shí),Shaik 說,這些服務(wù)表示這是一種客戶獲取策略:“他們真的很想推銷他們的平臺(tái)并吸引盡可能多的客戶?!?/p>
這九項(xiàng)服務(wù)中有七項(xiàng)甚至沒有嘗試對 API 訪問實(shí)施速率限制,他繼續(xù)說:“我們無法真正找到速率限制問題,其中只有兩個(gè)實(shí)際上設(shè)置了速率限制。”
未能通過為設(shè)備分配隨機(jī)標(biāo)識(shí)符來掩蓋客戶身份會(huì)增加攻擊者能夠針對特定公司的風(fēng)險(xiǎn)。
入侵的載體
Shaik概述了一些可能的攻擊。例如,攻擊者可以通過 SMS向 IoT 設(shè)備發(fā)送惡意軟件(他指出,一些運(yùn)營商告訴他的團(tuán)隊(duì),國家法律禁止掃描 SMS 流量中的惡意軟件)或使用廣播下行鏈路消息來進(jìn)行拒絕服務(wù)攻擊(例如訂購物聯(lián)網(wǎng)設(shè)備增加數(shù)據(jù)消耗或保持清醒直到電池耗盡)。
研究人員進(jìn)一步發(fā)現(xiàn),為客戶訪問提供的 webhook 通常沒有使用標(biāo)準(zhǔn)的 HTTPS 加密進(jìn)行保護(hù),從而導(dǎo)致各種客戶數(shù)據(jù)泄露。
最后,他們觀察到這些運(yùn)營商中的大多數(shù)都沒有保護(hù)他們的物聯(lián)網(wǎng) API 來拒絕惡意輸入字符串,攻擊者可以利用這些字符串在他們的平臺(tái)上運(yùn)行任意代碼。Shaik 說:“其中至少有六個(gè)沒有真正的代碼注入保護(hù)?!?/p>
這些服務(wù)中只有兩項(xiàng)通過了研究人員的測試:“其中只有兩項(xiàng)沒有受到我們看到的漏洞和設(shè)計(jì)風(fēng)險(xiǎn)的影響,”Shaik 說,并補(bǔ)充說,在他的團(tuán)隊(duì)私下向這些公司披露這些問題之前,沒有人意識(shí)到這些問題.
Shaik 敦促具有物聯(lián)網(wǎng)意識(shí)的提供商遵循現(xiàn)有的 GSMA 安全指南,然后采用經(jīng)過驗(yàn)證的安全實(shí)踐,例如通過僅提供特定用例所需的 API、隨機(jī)化用戶標(biāo)識(shí)符、限制訪問、執(zhí)行嚴(yán)格的輸入驗(yàn)證以及監(jiān)控和監(jiān)控來減少攻擊面。記錄網(wǎng)絡(luò)流量。
“擁有業(yè)內(nèi)普遍推薦的額外安全實(shí)踐非常重要,”他說?!拔抑肋@很困難,但這是唯一的方法。”
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- MediaTek發(fā)布天璣8400 5G全大核智能體AI芯片,賦能高階智能手機(jī)
- 千方科技:擬以1.198億元受讓車聯(lián)網(wǎng)基金20%合伙份額
- 中國鐵塔:高同慶因年齡原因辭任公司非執(zhí)行董事等職務(wù)
- MediaTek發(fā)布天璣8400 5G全大核智能體AI芯片,賦能高階智能手機(jī)
- 榮耀官宣成為《哪吒之魔童鬧海》官方合作伙伴,2025魔法科技年貨節(jié)開啟
- 榮耀Magic7 RSR保時(shí)捷設(shè)計(jì)發(fā)布:大王影像升級(jí),重塑影像創(chuàng)作與處理邊界
- VR和AR技術(shù)的未來趨勢:重塑互動(dòng)與體驗(yàn)
- 6G技術(shù)和頻譜需求:解鎖下一代無線連接
- 關(guān)于數(shù)據(jù)存儲(chǔ)的四個(gè)驚人事實(shí)
- 千家周報(bào)|上周熱門資訊 排行榜(12月16日-12月22日)
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。