一. 介绍
物联网( IoT) 正在蓬勃发展,越来越多的设备不断连接到网络。连接性具有许多优点,例如自动化、改进的监控和更高效的通信。然而,好处也伴随着风险。当设备连接到网络时,就会引入新的攻击媒介。不幸的是,许多联网家庭设备的网络安全标准较差,并且不遵守简单的最佳实践,例如强制用户更改默认密码。这使得这些设备很容易成为网络攻击者的目标。许多全球网络攻击都针对关键的社会功能,例如发电厂或电网,但个别家庭也未能幸免。针对消费电子产品或家居用品的网络攻击大量存在,例如针对智能相机和智能冰箱的攻击。这些设备的安全标准通常较差,特别是与工业设备相比,这使得它们更容易受到黑客的攻击。即使是没有经验的黑客也可能对家庭物联网造成严重损害。
S-Lab是一家专注于物联网智能终端的硬件检测和相关物联网管理软件的软件测试的公司。我们拥有专业的测试设备和软件工具,通过渗透测试揭示物联网产品及其配套软件的潜在漏洞,以保障用户在使用过程中个人隐私安全不受威胁。我们致力于提供全面的安全解决方案,确保物联网技术在实际应用中得到可靠和安全的运行。
对与联网家庭相关的多项项目进行了严格的安全评估,以调查联网家庭的网络安全情况。使用适用于物联网产品的独特渗透测试方法总共测试了 22 种产品。渗透测试揭示了互联家庭中常见的设备中的许多漏洞,并可能为在家庭中添加连接之前进行额外考虑提供依据。其中一些漏洞非常严重,包括 CVE-2020-12838和 CVE-2020-12839,它们提供了对智能车库门的 root 访问权限。有些品牌批准公开披露漏洞,有些则不批准,有些则批准有时间限制的披露。文章中删除了特定的品牌或产品名称。
本文其余部分的结构如下。第 2 部分提供背景信息。第 3 节描述了研究中使用的物联网渗透测试框架,以及 22 次渗透测试期间采取的步骤。第四部分介绍了渗透测试的结果和智能家居产品的分类。第 5 节讨论了方法和所获得的结果。第 6 节对本文进行总结和总结。
二. 背景
本节提供背景信息并概述相关文献,重点关注智能家居环境渗透测试和安全评估的研究。
2.1. 联网家庭的安全评估
智能家居的定义可能有些模糊。智能家居环境的六个组成:房屋、节点、用户、链接、数据和策略。房屋是用户居住的物理建筑物,并且设备(通常)位于其中。节点是位于房屋内的物理组件(例如智能吸尘器)。用户是与互联家庭中的节点交互的人。链路是节点和用户之间的通信通道。数据由联网家庭设置收集和处理,策略是描述数据如何在不同实体之间传输的规则。
典型的智能家居由三个主要区域组成:内部网络、外部网络和住宅网关。现代架构模型有所不同,因为集成芯片通常让设备直接连接到互联网,而无需使用连接的集线器或网关。
本文讨论了智能家居的网络安全、智能家居的潜在漏洞以及智能家居网络安全不足的危险。我们发现智能家居设备的渗透测试既没有得到处理也没有实施。
我们在智能家居的各个隐私方面发现了一些缺陷,并为智能家居设备制造商制定了一套原则。这些原则包括“隐私政策应明确传输原则”和“本地数据共享应考虑二次信息流动”等政策。辅助信息流由接收者转发的信息组成。例如,当设备将有关用户的位置数据发送到附近的智能手机时,智能手机会将位置发送到制造商的云服务器。然而这仅解决智能家居中与隐私相关的漏洞。其他类型的网络安全漏洞没有得到解决,也没有进行渗透测试来检测此类漏洞。
信息技术安全评估通用标准是计算机安全认证的国际标准(标准 ISO/IEC 15408)。可以根据这些通用标准执行安全测试。CCRA(信息技术安全领域通用标准证书认可安排)可以确认产品的安全评估是根据通用标准标准进行的。可以对家庭物联网进行通用标准安全评估。例如,挪威IT 安全认证机构(SERTIT) 对海康威视网络摄像机进行了安全评估 ,韩国安全评估实验室 (KSEL) 根据三星 Knox 智能电视的通用标准进行了安全评估。
可信执行环境(TEE)和可信平台模块(TPM)可用于安全密钥存储服务,并提供安全启动和固件更新的可靠实现。因此,它们可用于确保运行时身份验证和完整性,这对于物联网设备来说是有价值的安全增强功能。这些安全增强对于互联家庭环境非常重要,因为许多物联网设备的安全标准往往很差。
2.2. 互联家庭的渗透测试
一些研究针对智能家居中常见的单个设备进行特定的渗透测试。例如,渗透测试联网摄像头或智能家庭语音助手)。后一项研究成功证明了系统如何容易受到网络攻击。为了测试该设备,使用了廉价硬件(一台普通笔记本电脑和一个不到 20 美元的 USB 适配器)以及标准渗透测试软件。语音助手漏洞允许渗透测试人员从连接到语音助手的其他设备中嗅探信息,从而使他们能够读取消息甚至控制设备。
有研究者对联网家庭中常见的四种设备进行了全面渗透测试:Chromecast、Wemo 智能插头、Dropcam 智能相机和 Foscam R4 智能相机。从某种意义上说,所有设备都容易受到影响。例如,如果攻击者可以访问家庭网络,则 Google Chromecast 可能会被成功劫持。劫持是微不足道的,无需过多的知识或工具即可执行。此外,一些黑客工具专门针对 Chromecast,使设备的渗透测试变得方便。通过取消身份验证攻击,Dropcam 安全摄像头和智能插头已成功停用。
三. 方法
本节详细介绍渗透测试的方法、目标设备的选择以及已发现漏洞的分类。
3.1. 选择要包含在研究中的设备
选择所选设备是为了创建智能家居中可能存在的项目的合理表示。然而,设备并不足以捕获智能家居环境中可能存在的全部产品。根据两个类别选择设备:相关性和便利性。
相关性产品必须与智能家居环境相关。为了量化相关性,我们决定只包含实际上可以在日常智能家居环境中使用的产品。有些产品是明显的候选产品,例如智能冰箱和吸尘器。其他产品则更为小众,例如智能汽车适配器(可以插入汽车以增强其连接功能的适配器)。智能汽车适配器并不总是存在于智能家居网络中。尽管如此,它们仍然被包括在内,因为汽车可以停在房子的车库内,或者足够近以到达家庭网络环境。与汽车本身相比,智能汽车适配器也足够便宜,可以方便地购买和测试。
便利性便利性至关重要,因为必须省略相关但价格昂贵或难以获得的产品。例如,智能汽车缺乏便利性,因为它们对于该项目的预算来说太昂贵了。大多数测试产品可以从当地电子商店购买,价格低于 1000 美元。
选择产品后,会出于组织目的对它们进行分类。使用类别来提高研究的可读性。他们的目的并不是完全捕获智能家居环境中的设备范围。类别的有用性将在第 5.1 节中讨论。
3.2. 试验台
渗透测试主要在 NSE 黑客实验室进行。在适当的情况下使用了(4 个)ASUS 千兆路由器(5以及 Ubertooth )(6)和 HackRF One 等黑客工具。渗透测试是在没有特殊硬件能力的个人计算机上进行的,并且使用Kali Linux作为操作系统。根据上下文使用不同的编程语言。例如,Rust 和 Shell script 用于创建针对智能汽车适配器的恶意软件。每个渗透测试的测试环境的详细描述可以在每个渗透测试报告中找到,并在 项目的 GitHub 存储库中引用。
3.3. 渗透测试
3.3.1. 规划
规划阶段分为两个部分:范围界定和信息收集。范围界定阶段包括准备工作,重点是划定安全评估的界限,以确定要包含或排除的内容。边界是为了阐明应该测试哪些设备或基础设施、应该测试设备的哪些组件(硬件、固件、软件等)、应该进行什么类型的测试(黑盒、白盒或灰盒)测试),以及测试期间应使用哪些技术/工具。信息收集主要集中于传统的渗透测试侦察,包括设备的物理检查、扫描和其他类型的枚举。
3.3.2. 威胁建模
威胁建模包括攻击面分解、漏洞分析和风险评分。在分解攻击面的过程中分析设备架构。设备/架构的相关组件被识别并分配给初始模型。组件之间的数据流(通信协议)也被建模。在漏洞分析期间综合从先前阶段和阶段获得的信息,以用威胁数据填充模型。针对不同的组件分析公开披露的漏洞,例如 CVE 和其他已知漏洞/安全缺陷。使用 STRIDE Shostack (2020) 模型来识别威胁。STRIDE 根据六种攻击类型评估威胁:欺骗、篡改、否认、信息泄露、拒绝服务和权限升级。
最后,根据其严重性对发现的攻击向量进行量化。风险评分可以帮助您了解哪些威胁最相关并且可以产生最大的影响。使用 CVSS 评分系统。
3.3.3. 开发
在利用阶段,先前收集的信息被用来危害目标系统。测试这些假设以验证系统中是否存在漏洞。还测试了之前步骤中发现的潜在现有 CVE 或攻击向量。漏洞数据库中的现有漏洞代码,例如 ExploitDB 和 Packet Storm Security ,可以直接使用或修改以满足测试的特定要求。半自动化工具,例如 Metasploit ,也可用于方便地利用。
在利用过程中,很难区分漏洞是由产品本身还是由安装(安装方式)引起的。如果漏洞是由于用户安装不当造成的,则可能没有必要将其公开为公共 CVE。但是,应设计具有严格网络安全标准的产品,以保证产品的安装遵循网络安全最佳实践。例如,设备可以通过要求密码遵循密码最佳实践来消除用户选择错误密码的可能性。因此,将产品安全性降低归咎于用户错误是不够的(尽管有时是相关的)。
3.3.4. 报告
漏洞利用完成后,将记录发现的安全漏洞。为了便于公平比较不同设备之间的弱点/漏洞,将发现的漏洞/弱点分为12类,如第4.2节所示。
一些类别进一步分为两个子类别(中等和严重)。不同的级别区分具有不同严重级别的类似类型的攻击。严重漏洞通常源自导致设备无法使用、让攻击者获得设备 root 访问权限的攻击。例如,导致设备无响应的DoS 攻击,或授予攻击者对设备的 root 访问权限的权限升级攻击。
中度漏洞/弱点通常源于成功破坏设备某些部分但设备仍可以执行其预期功能的攻击。例如,对摄像头的 DoS 攻击会降低视觉数据的传输速度,但仍使摄像头正常运行。中度漏洞也可能是设法窃取信息但无法访问关键信息的攻击。例如,通信拦截攻击设法窃取任意信息,但不接收用户名和密码。对于导致 CVE 的攻击(如表 2所示),可以在每个 CVE 的NVD描述页面上找到有关攻击步骤的详细信息。对于未导致 CVE 的攻击(如表 3所示),下面提供了每种攻击的示例描述;更详细的描述可以在该项目的 GitHub 存储库附录 A 部分中的黑客报告中找到。如果发现以前未知的漏洞,则遵循负责任的披露原则,向制造商和网络安全社区报告安全漏洞。
表 2. 已发现的 CVE 的不同类别。当发现某个类别的多个 CVE 时,总数会写在最后一列中,例如 (x4)
表 3. 弱点类别(未作为 CVE 发布),# 表示发现了给定类型的弱点数量
四. 结果
4.1. 渗透测试类别
测试的设备来自各个智能家居领域。为了方便起见,将其分为五个部分:S1:智能门锁(7 个设备)、S2:智能摄像头(4 个设备)、S3:智能车载适配器和车库(3 个设备)、S4:智能家电(4 个设备)和S5 :各种智能家居设备(四个设备)。图 1和图 2展示了每个智能家居领域中发现的 CVE 和弱点的分类。
图1. 不同类别智能家居设备之间的漏洞 (CVE) 划分
图2. 不同类别智能家居设备的弱点划分
4.2. 发现漏洞和弱点
在 22 台设备中,发现了 17 个漏洞并作为新的 CVE 发布。此外,还发现了 52 个漏洞,但被认为太小,无法作为 CVE 发布。在一些设备中发现了一些漏洞和弱点,如表2和表3所示。某些类型的漏洞/弱点分为两类(中等和严重)。
4.2.1. 通信拦截攻击
设备可能会因利用其通信通道而受到损害。中间人 (MITM) 攻击是基于通信的攻击的常见子集。MiTM 攻击可用于窃听(监听信息而不篡改信息)或操纵(在将数据进一步发送给接收者之前扭曲数据)。应该指出的是,并非所有窃听实例都一定是 MiTM 攻击。
OWASP 将 MiTM 攻击定义为攻击者将原始 TCP 连接拆分为两个新连接的任何实例,一个在客户端和攻击者之间,另一个在攻击者和服务器之间。在安全文献中,中间人攻击通常会破坏两个对等点之间的身份验证。在本研究中检查的其中一款智能锁上成功进行了此类攻击。通过蓝牙连接智能锁时,锁的移动应用程序不会扫描特定的 MAC 地址,即使设备之前已配对。相反,它会扫描广告数据与锁的序列号相对应的设备。这意味着锁会公布其序列号。连接后,所有传出通信都是通过写入锁的蓝牙通用属性配置文件 (GATT) 服务器中的一项特定特征来完成。智能锁的所有传入数据都是通过特征通知接收的。为了执行 MITM 攻击,需要使用 gattacker 执行蓝牙扫描。
首先,保存所有已发现设备的 MAC 地址。接下来,检查公布的数据以找到正确的设备(智能锁)。当获得锁的MAC地址时,可以执行锁的所有服务和特征的发现过程。当获得设备的广告数据和 GATT 服务的副本时,可以欺骗该锁,并且可以操纵目标设备连接到该锁的欺骗版本。所有数据都被转发到锁的欺骗版本,并且可以根据攻击者认为合适的方式读取和更改。数据还可以被模糊化,允许攻击者尝试不同的模糊化以查看是否可以发现任何漏洞。使用gattacker执行攻击的先决条件是访问两台能够使用蓝牙的基于Unix的机器(一台机器作为外围设备,另一台作为中央设备)。
重放攻击是 MiTM 的常见子集,其中传输被错误地重复,例如欺骗或延迟。成功对智能家居报警系统进行重放攻击。这次攻击是使用 HackRF One 和 Universal Radio Hacker 进行的。首先,使用URH频谱分析仪工具找到系统的中心通信频率。官方报警系统文档指出,系统以 868 MHz 进行通信,因此选择了该频率。篡改传感器(位于与智能报警系统连接的门背面)被反复按下和释放,以使系统通过射频通信传输数据。在此过程中,观察到频谱中出现明显的尖峰。系统可以推断出所使用的通信频率约为 868.64 MHz。这是合理的,因为 868.6 - 868.7 MHz 频段在欧洲被明确分配给报警系统。信号被假定为静态的,因为它没有改变。这是安全实践薄弱的另一个迹象,不幸的是,这并不是一个新现象。带有静态信号的远程车锁是 20 世纪 90 年代常见的安全问题。
无论如何,当找到通信频率后,可以使用 URH 记录信号工具捕获信号。除其他功能外,该工具还可以记录从软件定义无线电 (SDR) 捕获的原始音频信号。经过一番试验和错误后,我们发现 868.638 MHz 可以很好地捕获信号。当 HackRF 靠近设备放置时,SDR 能够捕获干净的信号,而无需增加增益参数。捕获信号后,可以使用 URH 发送信号工具重播它们。该工具可让您轻松选择和编辑要重播的捕获信号部分。通过试错过程,对几种数据包组合进行了重放攻击测试。每个测试的射频通信端点都容易受到重放攻击,包括从远程键盘布防和撤防警报、触发/解决门磁的防拆传感器、触发/解决摄像机的防拆传感器以及触发/解决防拆主面板的传感器。
一些设备使用未加密的传输协议,允许在不破坏身份验证的情况下进行拦截攻击。例如,其中一台智能吸尘器使用未加密的 HTTP 传输移动应用程序和服务器之间发送的所有通信。
4.2.2. 拒绝服务
DoS(拒绝服务)攻击旨在破坏设备的服务。例如,针对带有运动传感器和控制网关的智能家庭办公解决方案成功实施了 DoS。该攻击是通过重复传输超过 2.405 GHz 的余弦波信号来进行的。GNU Radio Companion 和 HackRF One 单元用于阻止从传感器发送到网关的任何信号。中频增益 (IF) 设置为 47(最大可能值)。射频增益 (RF) 设置为零,基带 (BB) 增益设置为默认值。信号完全被封锁;这是通过在干扰期间监测运动参数来验证的,同时多次尝试触发运动传感器。选择最低推荐采样率值 (2e6)。如果攻击不成功,该值将增加到 4e6。然而,由于初始攻击成功,采样率保持在2e6。使用相同的参数值又进行了五次攻击(总共六次攻击),以验证成功的攻击并非巧合。所有六次尝试均成功干扰了该设备。第 4.3 节给出了 DoS 攻击的另一个示例,其中 hping3 用于破坏智能锁。
4.2.3. 状态一致性
对其中两把智能锁成功进行了状态一致性攻击。通过蓝牙将锁与智能手机配对并使用手机的网络访问云服务器,从而将锁连接到云服务器。云服务器包含一个访问列表,其中包含允许用户访问智能锁的信息。为了向新用户授予访问权限,智能手机与云服务器进行通信(云服务器发送向新用户添加权限的授予)。该锁很容易受到状态一致性攻击,因为访问列表通过云服务器存储在智能手机上,而不是存储在锁本身中。管理员用户可以允许新用户临时访问智能锁,从而允许新用户通过手机解锁和锁定智能锁。如果新用户(攻击者)随后禁用手机上的网络连接,手机将无法连接到云服务器。如果管理员用户撤销攻击者的访问权限,管理员会从云服务器收到一条消息,表明访问权限已成功撤销。然而,云服务器无法连接到攻击者的智能手机,因此无法撤销访问。攻击者仍然可以使用她的智能手机通过蓝牙控制锁(直到互联网访问恢复)。由于锁本身不包含有关谁被允许访问锁或不允许谁访问锁的信息,因此可以执行攻击。该信息存储在智能手机上。这也意味着在攻击者手机上完成的任何日志记录都不会发送到云服务器(只要网络被禁用),从而使攻击者逃避日志记录。
4.2.4. 篡改固件
通过篡改相机的固件,在其中一台连接的相机中创建了后门。经过大量的硬件操作后,可以通过 U-boot 访问嵌入式 Linux 操作系统到达 Linux 终端后,攻击者就可以完全访问摄像机的操作系统。那么,首先要做的就是提取系统的架构。这是通过运行命令arch来完成的。这表明系统运行 ARM,并且可以运行为 ARM 编译的二进制文件。攻击者可以通过运行xxd -c 1 -l 6 /bin/busybox在处理器上产生字节序。生成的 ELF 文件显示文件编译的字节序。通过通过curl发送文件,可以找出文件系统中的二进制文件链接到哪个链接库。在本例中为/mnt/data/bin/miio_agent。被使用了。该文件被发送到文件命令所在的Ubuntu环境。调查结果表明,二进制文件动态链接到/lib/ld-uClibc.so,这表明使用了uClibc 。uClibc 工具链是为 ARM(little-endian)安装的。然后使用后门固件固件模组套件 (FMK) 创建后门。找到启动文件系统中的二进制文件之一的 shell 脚本,以便在摄像头启动时启动后门。
/etc/perp/miio_client/rc.main负责在相机启动期间启动miio_client文件。
Shell 脚本被修改为启动一个新脚本,该脚本从一个 CDN 检索后门、授予执行权限并启动程序。后门随着摄像头的启动而启动。然后可以在开放端口(有多个开放端口)上使用 Netcat 从外部网络连接摄像机。攻击者可以通过计算机在摄像机上运行 busybox 命令。
4.2.5. 代码注入
代码注入已成功应用于其中一款智能汽车适配器。首先,根访问权限是通过暴力攻击获得的,根访问权限使攻击者能够篡改适配器并与车辆的底层 ECU(电子控制单元)进行通信。使用 Rust 和 Shell 脚本在有效负载中自动获取 root 访问权限的过程。负载持续扫描附近相同型号的设备,如果找到则启动连接过程。该连接是通过利用弱 WiFi SSID 凭据的暴力攻击来建立的。获得访问权限后,有效负载将上传到新设备,并继续传播。
恶意软件将连接到目标的 WiFi 并使用 Linux 上可用的安全文件复制 (SCP) 将自身复制到目标设备。然后,恶意软件将使用安全外壳 (SSH) 客户端运行命令并在目标上设置外壳环境。这使得恶意软件能够通过 SSH 连接自行运行和执行。可以通过 SSH 执行命令,因为给定类型的所有设备都具有SSH 连接的默认密码。一旦被感染,恶意软件将下载 sshpass和 sshfs。该恶意软件在后台运行的主程序是用 Rust 编写的。Rust 脚本运行为 bash 编写的不同 shell 脚本,以登录目标设备的热点、上传恶意软件并激活它。Sshpass 用于通过 SSH 以脚本方式连接到目标。这是必需的,因为 OpenSSH 安全文件复制和 OpenSSH 远程登录客户端不允许从标准输入通过管道传输 SSH 连接的密码。sshfs允许恶意软件通过SSH连接到服务器托管的单词列表,用于挂载暴力破解WiFi登录所需的单词列表。
4.2.6. 信息披露
成功从其中一台智能冰箱获取敏感信息。Ettercap 用于拦截进出冰箱的包裹。同时使用Wireshark捕获和监控发送的数据包可以确定通信协议。收集到的数据包被保存为 Wireshark pcap 文件并上传到 A-packets,这是一个分析不同协议的程序。通过分析文件,发现云服务器的网站使用了过时的证书。
4.2.7. 逆向工程
成功对智能家居报警系统的射频(RF)信号进行逆向工程攻击。(最初,使用Universal Radio Hacker (URH)捕获信号。通过检查URH 捕获的信号,可以观察到使用频移键控(FSK) 调制来调制信号。使用 URH 对所有捕获的信号执行自动解调。无法自动找到正确的调制参数。相反,使用开源音频处理工具 Audacity 手动解调信号,步骤如下:
1.URH 捕获的原始信号数据被导入 Audacity 并分成两个单轨。
2.对第一个轨道应用高通滤波器,对第二个轨道应用低通滤波器,滚降值设置为 48 dB。前者本质上将较高的频率映射到输出波的较高振幅,而后者则相反。
3.使用 Audacity 的脚本语言Nyquist,使用 Nyquist 程序(s-abs *track*)将绝对值应用于每个轨道。然后,将低通滤波器应用于两个轨道以计算信号的包络。
4.最初应用低通滤波器的轨道被反转。这意味着这两个轨道现在分别对应于原始信号的高频和低频位置。
5.然后这两个曲目被混合成一个新曲目。最后,在启用剪辑的情况下将混合轨道放大得尽可能高,从而创建可以转换为二进制数据流的二进制信号。
4.2.8. 会话劫持
成功利用了智能车库门的Web会话控制机制。智能车库门的网络服务器必须能够跟踪应用程序的不同用户。为此,Web 服务器使用会话令牌。在智能车库门中,会话令牌是在请求的 HTTP 标头中发送的 cookie。cookie 连接到活动会话,帮助 Web 服务器了解哪个用户正在发送请求。如果攻击者掌握了会话令牌,他们就可以使用该令牌发送来自合法用户的请求。
4.2.9. 安全配置错误和设计缺陷
安全配置错误和设计缺陷存在多种形式。在智能车库门中发现了一个错误配置的例子。输入错误密码时,会出现一条消息,提示密码错误。同样,当输入错误的用户名时,会出现一条消息,指示该用户名不存在。这使得 Web 应用程序容易受到用户枚举的影响。当然,最好不要指出用户名或密码是否错误,而是指出其中任何一个错误。这一安全原则几十年来已广为人知,但不幸的是,它仍然没有得到始终遵守。
4.2.10. 地址栏欺骗
开放重定向和地址栏欺骗可以在所连接的智能冰箱之一的Web应用程序中实现,即在冰箱上运行的Web服务器上实现。默认情况下,冰箱 Web 应用程序的弹出窗口阻止程序处于禁用状态,这允许在无需用户交互的情况下触发 window.open()。然后,开放重定向可以将用户传输到新的恶意网站,该网站捕获用户的用户凭据或执行其他欺诈操作。旧网站仍会出现在浏览器的地址栏中,使该网站难以被发现。
4.2.11. 删除/更改日志
智能手表的日志文件已成功删除;攻击者可以利用它来隐藏他们的痕迹。这些日志存储在智能手机本地,供支持人员在为消费者排除问题时使用。日志存储登录、有价值的事务和错误消息。按住智能手机应用程序上“创建帐户”按钮上方的区域约两秒钟,可以访问智能手表上应用程序的日志文件。执行此操作后,将显示诊断信息,按下菜单会出现通过电子邮件将日志发送给支持人员的选项。可以通过从支持电子邮件切换到个人电子邮件来访问和阅读日志。
根据 OWASP 的说法,如果不遵循以下最佳实践,日志记录和监控是不够的:
1.正确记录登录、登录失败和有价值的交易等事件。
2.执行可读的警告和错误消息。
3.监控可疑活动,例如渗透测试和扫描工具。
4.能够检测、升级正在进行的攻击并发出警报。
仅在智能手机的移动应用程序中检测到日志记录。无法调查设备网站门户的日志记录,因为未向服务器或管理员授予访问权限。制造商提供了一个桌面应用程序,可以从智能手机收集所有日志文件并将其放置在桌面上,然后可以将其发送给客户服务。要从智能手表桌面应用程序中删除或修改日志数据,必须首先确定日志的位置。可以通过分析应用程序的.exe脚本文件并开发 cmd 脚本来删除日志文件来定位日志。因此,拥有智能手机和智能手表的攻击者可以删除所有日志。
4.2.12. 利用具有已知漏洞的组件
智能手表的网络应用程序使用了具有已知漏洞的组件。通过漏洞扫描和人工分析,识别出该软件及对应版本。例如,Wappalyzer浏览器插件显示底层网络应用程序使用的组件。在智能手表使用的服务中,发现了 jQuery 1.10.2 和 jQuery UI 1.10.3。jQuery 1.10.2 是 jQuery 的八年版本,包含已知漏洞 CVE2015-9251、CVE-2017-16012、CVE-2020-11022 和 CVE-2020-11023。jQuery UI 1.10.3 也已过时,可能存在漏洞 CVE-2016-7103。
大多数漏洞仅在单个设备中发现。然而,一些设备出现了一些漏洞。例如,在 11 台设备中发现了中等等级的通信拦截攻击。图3显示了最常出现的漏洞和弱点。表 2和表 3分别报告了已发现的所有漏洞和弱点的完整列表。
图3 . 最常见的成功攻击类型,结合考虑 CVE(漏洞)和弱点
S-Lab专业致力于家庭物联网智能终端的全方位测试服务,涵盖智能音箱、血压仪、摄像头、门锁等各类设备。我们擅长通过射频和OTA等方式进行2G、3G、4G测试,同时对配套物联网管理软件进行全面软件测试。通过我们的服务,您能够发现并解决物联网设备潜在的安全隐患,确保您的物联网生态系统在安全可靠的基础上运行。信任S-Lab,保障您的物联网设备安全无忧。
4.3. S1设备渗透测试:智能门锁
测试了七款智能门锁,发现了两个 CVE:CVE-2019-12942 和CVE-2019-12943。前者认为当网络访问云不可用时,对访客访问的阻止不充分。这意味着,在某些情况下,如果网络连接在正确的时间中断,原本无法打开锁的访客用户也可以打开锁。这还会影响来宾用户不应执行的其他基于管理的任务。该 CVE 被 NVD 归类为中级漏洞 (6.5)。CVE-2019-12943 通过确保密码重置尝试未受到适当限制来影响智能锁的密码重置机制。这可能会导致不正确的访问控制,从而泄露有关有效帐户名称的敏感信息。NVD给予 CVE 高严重性评级(8.1)。
除了 CVE 之外,还发现了 15 个其他弱点。其中包括通信拦截攻击(七个智能锁中有四个容易受到中等通信拦截攻击,一个容易受到关键通信拦截攻击)。通信拦截攻击通常包括嗅探通过 HTTP 或其他未加密的纯文本消息格式发送的流量的可能性。其中一把锁成功遭到 DoS 攻击。该攻击被标记为中等,因为它没有完全禁用用户打开锁的可能性,也不允许攻击者打开它。攻击中使用的大多数 DoS 命令(如下所示)都会导致较高的丢包率;有些甚至使智能锁应用程序无法通过互联网连接与智能中心进行通信。
hping3 --syn --rand-source --flood -p <端口>
nping --tcp-connect -rate=90000 -c 9,000,000 q
对于 hping3 ,“flood”标志意味着尽可能快地发送数据包,忽略来自目标的响应。“-S”指定只发送SYN数据包,“rand-source”从随机IP地址发送。对于 nping,“-rate=90000”指定攻击率,“-tcp-connect”表示探测非特权 TCP 连接,“-c 9000000”指定攻击在 9,000,000 轮后停止,“-q”表示降低详细程度一级。
因此,智能锁无法再通过互联网连接锁定/解锁,但仍然可以使用蓝牙解锁。大多数攻击都会导致连接速度比平常慢。然而,尽管受到攻击,锁仍然可以操作,因为 DoS 攻击的目标是智能集线器而不是锁本身。简单的syn洪水效果非常好,丢包率很高,丢包率达到100%。TCP 命令(由“tcp-connect”标志指定)也产生很高的包丢失率。然而,它并没有达到 100%,应用程序仍然可以工作,这表明需要 100% 或接近100% 的包丢失才能完全中断连接。所有成功的智能锁渗透测试结果可以在表 4和该项目的 GitHub 存储库中看到。
表 4 . 发现智能家居第 1 部分——智能门锁的漏洞
4.4. S2中设备的渗透测试:智能相机
测试了四台智能相机,未发现新的CVE。然而,我们还发现了另外 10 个弱点。四个摄像头中的三个包含中等级别的通信拦截攻击。通信拦截攻击通常是指启用某种形式的数据嗅探的数据包分析。在一种情况下,流媒体视频可能会被嗅探,这在技术上足以构成严重漏洞(如第3.3.4 节中所述)。然而,只有当攻击者与智能相机位于同一本地网络时才能执行攻击,这可能需要大量的准备工作。因此,获得的网络访问权限将是关键漏洞,而不是流量嗅探。一台相机的固件被利用并被列为关键,因为可以创建后门。该后门允许攻击者访问摄像机,并通过重新启动、重置并将摄像机连接到新网络来持续存在。
其中一台摄像机中发现了代码注入漏洞,可以将任意命令注入到以 root 权限运行的启动脚本中。此攻击需要远程根访问或对摄像机使用的 SD 卡进行物理访问。在后一种情况下,启动脚本将直接从 SD 卡执行命令,这是一个粗心的功能,因为从客户的角度来看不需要它。这也构成了设计缺陷,因为在设计和测试期间有用的功能并未从最终产品中删除。20 年前,软件行业就出现过此类问题。显然,他们仍然存在。还可能执行 DoS 攻击,完全中断摄像机与其 Web 服务器之间的流量,导致服务不可用。智能相机上所有成功渗透测试的结果可以在表 5和该项目的 GitHub 存储库中看到。
表 5 . 发现有关智能家居第 2 部分 - 智能摄像头的漏洞
4.5. S3 中设备的渗透测试:智能汽车适配器/车库
测试了两个智能汽车适配器和一个智能车库门。智能汽车适配器用于增强车辆的连接功能,例如语音识别或通过智能手机锁定和解锁汽车的能力。适配器插入车辆的 OBD-II 端口。总共发现了 13 个 CVE,其中 2 个来自智能汽车适配器之一(CVE-2019-12941 和CVE-2019-12797 ),11 个来自智能车库门(CVE-2020-12280 、CVE- 2020-12281 、CVE-2020-12282 、CVE-2020-12837 、CVE-2020-12838 、CVE -2020-12839 、CVE-2020-12840 、CVE-2020-12841 、 CVE-2020 -12842 、CVE-2020-12843 和CVE-2020-13119 )。
智能汽车适配器的两个 CVE 至关重要,允许攻击者获得适配器的 root 访问权限。对于某些车型和版本,攻击者可以利用该漏洞控制车辆的关键功能,例如转向、加速和制动。CVE-2019-12797 和 CVE-2019-12941 在 NVD 数据库中的严重严重性评分为 9.8(满分 10)。Heiding 等人更详细地讨论了这些漏洞。在智能车库门中发现的 11 个 CVE 中,有 4 个严重,NVD 评分为 9.8。最严重的漏洞可能允许攻击者打开车库门并可能进入房屋。其中 3 个 CVE 排名较高,得分至少为 7.5。其中 4 个 CVE 的严重程度为中等,得分为 6.5 或更高。所有成功的智能相机渗透测试结果如表6所示。
表 6. 发现有关智能家居第 3 部分(智能车库和智能汽车适配器)的漏洞
4.6. S4中设备的渗透测试:智能家电
有四种设备被归类为智能家电:两台智能冰箱和两台智能吸尘器。在其中一台智能吸尘器中发现了两个 CVE(CVE-2019-12820和CVE-2019-12821 )。CVE-2019-12820 的严重程度为中等,评分为 5.6。该漏洞与 iOS/Android 应用程序和吸尘器之间发送的未加密凭据有关。攻击者可以通过嗅探高价值凭据(例如登录名和密码信息)来利用此漏洞,从而完全控制吸尘器。成功实施了一次漏洞利用,使攻击者能够完全访问关键的隐私功能,例如吸尘器的摄像头。没有任何信号表明攻击者控制了摄像头并且可以看到吸尘器看到的一切。
CVE-2019-12821 的严重程度也为中等,得分为 4.8。该漏洞会威胁到 QR 码的不安全应用。要将智能手机连接到吸尘器,用户必须在吸尘器的智能手机应用程序上创建用户帐户,然后将特定的吸尘器添加到用户帐户。通过扫描吸尘器上的二维码,可以将吸尘器添加到用户帐户中。二维码遵循易于预测的模式,仅取决于机器人吸尘器的特定设备 ID。生成包含设备 ID 信息的二维码可以连接任意设备并获得对其的完全访问权限。随后,攻击者可能会获得对设备摄像头等功能的完全访问权限,从而导致严重的隐私侵犯。
除了这些 CVE 之外,还检测到了几个其他安全漏洞。例如,身份验证被破坏(允许使用不安全的密码,例如“Password1”)和 DoS 攻击。DoS 攻击成功延迟了设备的响应时间,但并未导致设备完全无响应。所有智能设备中所有成功渗透测试的结果如表7所示。
表 7. 发现有关智能家居第 4 部分 - 智能家电的漏洞
4.7. S5中设备的渗透测试:各种智能家居设备
测试了四种设备,并将其归类为杂项智能家居设备:智能机器人、智能家居报警系统、智能办公解决方案和智能手表。这些设备中未检测到 CVE,但还发现了其他 13 个漏洞。成功执行了四次 DoS 攻击,一次针对该类别中的每台设备。其中三起 DoS 攻击导致各自的目标失去响应,这被列为严重攻击。智能家居报警系统成功遭受重放攻击,并被列为严重攻击。攻击可以通过远程键盘解除警报或触发/解决已激活/停用的警报传感器。对各种智能家居设备的所有成功渗透测试的结果可以在表8中找到。
表 8. 发现有关智能家居第 5 部分 - 各种智能家居设备的漏洞
5.0. 渗透测试和结果
渗透测试总共发现了 17 个以 CVE 形式发布的新漏洞。此外,还发现了 52 个漏洞,其中一些漏洞将来可能会作为新的 CVE 发布或导致新 CVE 的发现。有些漏洞被认为太小,无法作为 CVE 发布,而另一些则被认为太普遍,或者属于已知漏洞。
据我们所知,还没有研究对智能家居环境进行过与本研究同等规模的渗透测试。然而,渗透测试无法涵盖智能家居的所有可能的子领域,因此不应被视为详尽无遗。因此,我们的目标不是提供对智能家居网络安全的完整理解,而是通过添加大量实际测试、证实或反驳先前关于智能家居安全评估的主张并做出新的推论,为最先进的评估做出贡献。
不同的渗透测试是使用标准化方法进行的。在进行大量渗透测试时,必须使用系统方法来获得可比较的结果。所选方法是通用的,应与其他渗透测试方法保持一致。然而,如果未来的智能家居评估研究使用相同的方法那就更理想了。如果使用不同的方法,仍然可以比较结果。在本研究中研究的设备上使用不同的渗透测试方法来比较结果也很有趣。如果不同的方法产生相同的结果,可靠性就会增加。
渗透测试由学士和硕士生进行。他们由博士指导。学生、博士后研究人员和教授。当然,学生的专业知识差异很大。尽管渗透测试方法试图弥补渗透测试人员之间潜在的信息差异,但该方法无法完全弥补经验差异。可以合理地假设,学生进行的渗透测试的质量低于具有多年经验的专业渗透测试人员进行的渗透测试。值得注意的是,尽管渗透测试人员并非专业人士,但还是发现了 17 个 CVE,其中一些被列为严重漏洞。还应该指出的是,13 个 CVE 来自一名学生测试的单个设备。目前尚不清楚该设备是否特别容易受到攻击,或者渗透测试人员是否特别勤奋。两者的结合很可能是这种情况,这意味着所有测试设备上可能还存在更多尚未发现的漏洞。
在这 22 台设备中发现了 17 个漏洞和 52 个其他弱点,而且可能存在比发现的漏洞更多的漏洞。因此,询问智能家居设备对于公众使用是否安全是有意义的。完整的答案超出了本研究的范围,但结果清楚地表明一些智能家居产品包含严重漏洞。此外,所有测试的产品都至少有一个弱点,而且通常有多个弱点或漏洞。OWASP 十大 Web 应用程序安全风险是 Web 应用程序中的可靠漏洞列表。在 10 个漏洞类别中,在测试设备上发现了 7 个漏洞类别。从更广泛的角度分析结果也是有意义的,特别是考虑到国家网络安全方面。位于公民家中的设备可能包含后门,这反过来又可能为外国提供情报或进入国内基础设施的入口点,这是不可取的。如果连接的产品是在国外制造或组装的,则尤其如此。
5.3. 对未来研究的建议
本文的研究结果表明,目前出售的大部分家庭物联网都存在漏洞,其中一些漏洞非常严重。因此,未来研究如何创建更安全的物联网并帮助客户远离易受攻击的产品将是有用的。一种潜在的解决方案是(家庭)物联网的网络安全认证。欧盟网络安全局 (ENISA) 认识到此类认证计划的有用性。美国国家技术研究所 (NIST) 提出了类似的物联网认证需求,其中供应商必须满足某些网络安全要求才能销售其产品。当然,正如默多克等人充分阐述的那样,认证并不是万能药。然而,它们可能有助于使家庭物联网更加安全。
学术引用:
Heiding, Fredrik, et al. "Penetration testing of connected households." Computers & Security 126 (2023): 103067.
Lee, Hwansoo. "Home IoT resistance: Extended privacy and vulnerability perspective." Telematics and Informatics 49 (2020): 101377.
Murdoch, Steven J., Mike Bond, and Ross Anderson. "How certification systems fail: Lessons from the Ware report." IEEE Security and Privacy 10.6 (2012): 40.
Rak, Massimiliano, Giovanni Salzillo, and Claudia Romeo. "Systematic IoT Penetration Testing: Alexa Case Study." ITASEC. 2020.
阅读 121