2017 年是物联网安全事件频发的一年。
2017 年 3 月,Spiral Toys 旗下的 CloudPets 系列动物填充玩具泄露 200 万父母与儿童语音信息。
4 月,安全公司 Comsecuris 的一名安全研究员发现,未公开的基带漏洞 MIAMI 影响了华为智能手机、笔记本 WWAN 模块以及 loT(物联网)组件。
7 月,美国自动售货机供应商 Avanti Markets 遭遇黑客入侵内网。攻击者在终端支付设备中植入恶意软件,并窃取了用户信用卡账户以及生物特征识别数据等个人信息。
10 月,WiFi 的 WPA2(一种保护无线网络安全的加密协议)被曝存在重大漏洞,黑客可任意读取通过 WAP2 保护的任何无线网络信息。
12 月,美国交通指示牌被黑客攻击,播放反特朗普语言。
……
数量庞大且安全性薄弱的物联网智能终端设备已然成为攻击者的新型利器。而随着物联网智能终端数量的不断增加,其信息安全事件也将呈快速上升趋势,此类攻击将会更加频繁、范围更广且破坏性更强。最近梆梆安全研究院发布了《物联网智能终端信息安全白皮书》,从终端安全风险、终端安全隐患以及典型攻击方式剖析了物联网智能终端存在的安全风险。
终端安全风险
由于物联网智能终端数量庞大,目前已经成为攻击者组建“僵尸网络”的主要来源,并正在逐渐成为DDoS攻击发起的重要阵地。
大量物联网智能终端或因被恶意攻破,或因自身存在漏洞,陆续沦为“肉鸡”被黑客远程控制,变成用来发动DDoS攻击的工具。
如今,越来越多的家庭都在使用智能摄像头,人们通过智能摄像头与异地的家人进行沟通,借助智能摄像头远程监控家庭内部安全状况。然而智能摄像头里潜藏的安全漏洞,却在让其变为黑客偷窥家庭个人隐私的“帮凶”。
2017年6月18日,央视报道大量家庭摄像头遭入侵。黑客破解了大量家庭智能摄像头,在网上进行传播,建立了大量网络摄像头破解交流群,对家庭个人隐私进行“偷窥”,观看用户的日常起居,甚至将破解终端的IP地址、登录名和密码在网上公开叫卖,引发很多家庭对智能终端使用的安全担忧。攻击者主要依靠扫描软件在网络进行大范围扫描,然后用弱口令密码的方式来实现设备的控制。
随后国家互联网应急中心在市场占有率排名前五的智能摄像头品牌中随机挑选了两家,进行了弱口令漏洞分布全国性监测,结果令人十分惊讶:仅仅两个品牌的摄像头竟然有超过十余万部设备里存在弱口令漏洞。
随着互联网发展和工业智能化趋势,汽车产业也在向智能化、网联化发展,智能网联汽车作为智慧交通物联网络当中极为重要的智能终端,其信息安全问题日益严峻,信息篡改、病毒入侵等手段已成功被黑客应用于智能网联汽车攻击中,智能网联汽车的信息安全危机不仅能够造成个人隐私泄露、企业经济损失,还能造成车毁人亡的严重后果。
随着智慧城市的大力发展,在国家关键性基础设施建设当中,也有很多物联网智能终端在被广泛使用,这些事关国计民生的基础设施一旦遭遇风险,势必引发重大后果,可能会造成无法估量的经济损失,甚至会引起社会恐慌。
2008年8月5日,土耳其境内跨国巴库-第比利斯-杰伊汉石油管道发生爆炸,破坏了石油运输管道,中断了该管道的石油运输。这条管道内安装了探测器和摄像头,然而在爆炸将管道破坏前,却没有收到任何报警信号,摄像头也未能捕获爆炸事件发生的画面。后经调查发现,引发事故的缘由是监控摄像头本身。黑客利用网络摄像头的通信软件漏洞,攻入内部系统,并在一台负责警报管理网络的电脑上安装了一个恶意程序,然后渗透到管道操作控制系统,在不触动警报的情况下加大管道内压力,石油管道内的超高压力导致这次爆炸的发生,并且黑客删除了长达60个小时的监控录像“毁尸灭迹”,没有留下任何线索。
在物联网大力发展的同时,物联网智能终端将广泛覆盖在各个行业和领域,深入涉及国家关键基础设施、工业设备、智慧家庭、个人生活等,如果缺乏必要的安全保障,必将埋下极大的安全隐患。由于成本和技术成熟等原因,物联网系统在信息安全防护方面呈现“重平台、轻终端”的状况,物联网各类终端由于数量庞大或资源、技术等能力的限制,防护能力普遍较弱,成为物联网系统信息安全的薄弱环节。
物联网智能终端面临的主要安全隐患可分为以下几类。
目前,很多终端生产厂商普遍缺乏安全意识和安全能力,在终端操作系统、固件、业务应用等软件的设计和开发过程中并未做任何安全考虑,导致软件存在编码或者逻辑方面的安全漏洞和缺陷,可以使攻击者在未授权的情况下非法利用或破坏。
部分生产商为了节约开发成本,使用通用、开源的操作系统,或直接调用并未做任何安全检测的第三方组件,给物联网智能终端带来了极大的安全风险,很可能会引入一些公开的软件漏洞,极易被黑客利用。一旦这些漏洞被利用,同类设备都将遭受影响。另外,物联网智能终端上所安装的业务应用,普遍没有做相应的识别和控制机制,例如应用软件的来源识别、应用软件的安装限制、对已经安装应用软件的敏感行为控制等,很容易被攻击者安装恶意程序或进程来实施攻击行为。
由于物联网智能终端种类繁多、数量庞大,为企业带来了管理上的困难,再加上多数使用者安全意识不强、软件久不更新等,导致很多物联网智能终端的软件漏洞难以修复,且大量的这些设备直接暴露于互联网。同时,针对物联网智能终端的恶意程序越来越多,传播手段也不断更新,很容易被黑客所利用。
针对物联网智能终端,除了软件层面的安全,硬件安全也是必不可少的。物联网智能终端多数被放置在不安全的物理环境当中,攻击者很容易接触到,而且终端普遍成本不高,攻击者也可以轻易获取。因此对物联网智能终端的硬件设计提出了更高要求,终端生产商在设计开发过程当中应当考虑并实施相应硬件保护机制。
物联网智能终端如果在硬件架构设计上未做安全考虑,会为恶意攻击者提供诸多“便利”。例如,设备在外壳设计上如果没有做相应的防拆除设计,攻击者将能很容易拆除外壳接触到内部硬件,利用工具直接从内部硬件组件中提取固件或数据,然后加以分析寻找可以利用的漏洞进行攻击;设备在芯片、模组或者电路板等硬件上如果没有相应的防篡改、防逆向设计,攻击者就可以对终端的硬件实施篡改、逆向工程或克隆;设备如果没有相应的电磁信号屏蔽机制,攻击者则可通过侧信道攻击方式来进行密码系统的分析和破解。因此,物联网智能终端硬件设备在设计时如未做相应的安全考虑,则会遗留极大的安全隐患。
通常为了便于终端维护,设备生产厂商会预留相应的硬件或者软件调试接口,以便于进行运维过程当中的本地调试或者远程调试。如果能在硬件层面实施主动篡改保护功能,就可对终端内部各硬件模块和物理接口进行一定程度的安全保障。但是基于成本考虑,大多数物联网智能终端不具备如此高强度的安全保护手段,也可能没有任何保护措施,这意味着攻击者可以很容易地访问终端的内部硬件,接触到预留的硬件接口,例如USB接口、JTAG接口、串口、网口等。当前,多数生产厂商在预留接口上并未做安全保护,例如接口禁用、认证和访问控制等,攻击者可以利用暴露的物理接口直接访问设备固件,进行固件提取和分析,或者利用远程的软件调试接口进行非授权访问,实施系统层面的操作,更改系统或应用配置。甚至部分终端还遗留了生产调试接口或开发接口,为恶意攻击者深入物联网智能终端内部核心提供了便利。
数据通信传输也是物联网智能终端安全当中非常重要的一部分,现在越来越多的黑客开始针对通信传输协议进行破解攻击。在物联网智能终端和云端或者终端之间进行信息通信传输过程中,容易遭受流量分析、窃取、嗅探、重放等网络攻击,进而导致传输信息遭到泄露、劫持、篡改等威胁。物联网智能终端通信传输所使用的网络类型、接入协议、通信协议类型有很多,结合不同的物联网智能终端产品和业务类型,所面临的安全问题也很复杂。
目前已经有黑客通过分析破解智能家电、无人机等物联网智能终端设备的通信传输协议,实现了对物联网智能终端的入侵。物联网智能终端的网络通信协议自身安全性十分有限,而某些终端所采用的自定义网络通信协议的安全性则更为堪忧。而且,现在较多的物联网智能终端在网络通信过程中,所传输的信息数据仅采用很简单的加密方法,甚至没有采用任何安全加密手段,直接对信息进行明文传输,黑客只要破解通信协议,就可以直接获取传输数据,并任意进行篡改、劫持、屏蔽等操作。因此,通信传输协议和传输内容保护是物联网智能终端安全通信需要重点关注的两个部分。
目前许多安全通信措施都是为通用计算设备所设计,由于计算资源或系统类别的限制,很难在物联网智能终端上实现。物联网智能终端采用缺乏加密的通信机制,通信数据部分或全部明文传输,且物联网络很少具有网络分段隔离机制,这些都使得物联网智能终端极易遭受同网段网络的病毒感染、恶意访问或非法操控。
在物联网智能终端接入物联网系统,或者终端之间互联互通时,需要依靠身份认证来识别连接设备的合法性,通过授权来访问目标程序或文件,如果没有身份认证和授权机制,可能会有冒用的终端接入网络,或者重要的敏感数据被进行不合法的访问,会给整个系统带来极大的安全问题。
在很多物联网系统当中,终端规模很大,且相互协同工作的终端可能属于不同的供应商,使用不同软硬件框架的终端彼此间缺乏统一的身份认证标准,很难实现终端之间的身份认证。传统的身份认证和授权体系通常是针对用户身份,对于物联网智能终端,其身份可能不涉及任何个人用户,而且部分智能终端还需要实现自动化的方式进行连接和通信,这为物联网智能终端的认证增加了复杂性,而基于成本考虑或者缺乏安全技术能力,一些生产商在终端上使用了很简单的身份认证手段,不严格的授权访问控制,甚至有的终端没有任何身份认证和授权访问机制,为终端安全埋下了严重的安全隐患。另外,有的终端针对身份认证信息未做加密保护,在认证信息传输过程中,攻击者可以截获并进行篡改,或者以重放的方式绕过身份认证和授权体系接入网络。
现在物联网智能终端身份认证和授权不足是普遍存在的问题,大量智能终端还在使用弱密码,或者使用缺省登录账号和密码,甚至一些设备没有设置缺省密码,登录不需要任何认证,黑客很容易就能获取到这类设备的控制权。
无论物联网智能终端开发商在设备软件开发过程当中是否结合了安全性的考虑,在软件上都不可避免地会存在安全漏洞,包括设备操作系统、固件和业务应用等。有些生产商为了节约开发成本,使用通用、开源的固件或操作系统,直接调用第三方组件,很可能会引入公开的软件漏洞,导致终端在出厂时就已经存在安全问题。有些终端出厂时安装的软件,由于未及时更新,也可能在未来出现安全漏洞。如果没有相应的软件更新机制,设备漏洞会一直存在而无法修复。目前,大部分物联网智能终端没有自动系统升级和漏洞修复机制,即使在软件当中发现高危漏洞,它们也很难被升级修复,极易被攻击者利用,而设备使用者的忽视更会让这一问题迅速扩大。因此,除非拥有持续的软件安全更新机制,否则物联网智能终端将存在较高的软件漏洞风险。
另外部分厂商没有注意到软件在升级过程当中的安全性,部分物联网智能终端拥有软件更新机制,但是却忽略了软件更新过程的安全性,软件升级包升级过程中没有完整性和合法性验证,容易被攻击者从中劫持或更改软件升级包,而没有进行过加密处理的软件升级包,则可能会被攻击者截取用于发起中间人攻击,从而将恶意程序升级到终端当中。因此,不安全的软件升级机制往往会“制造”出更大的安全漏洞。
物联网智能终端作为物联网的感知层主要进行信息采集,终端上往往会涉及到重要敏感业务数据或者个人的隐私信息,例如智能电表的用电信息、家庭智能家居采集的用户数据、智能穿戴设备采集的个人信息等,这些终端上面的敏感数据可能会被攻击者直接篡改或者加以利用。另外,设备与设备之间也存在数据泄露渠道,在同一网段或相邻网段的设备可能会查看到其它设备的数据信息。
在物联网系统当中,大家普遍关注云端存在的数据泄露风险,而且部分传统云端数据安全解决方案也可以移植到物联网云端防护当中,但是作为更贴近信息源的物联网智能终端,往往也面临严重的信息泄露风险,且未被予以足够重视。由于物联网智能终端硬件资源限制,或由于成本因素,当前多数终端缺少敏感数据保护手段,而且没有明确的信息采集、传输和访问控制规范,因此物联网智能终端将会面临更大的信息泄露风险。
研究发现,对物联网智能终端的攻击通常都为“黑盒”形式,攻击方式分为近程攻击和远程攻击两种。
近程攻击是通过接触硬件而进行的攻击。由于攻击者对要攻击的终端硬件架构、核心芯片参数、接口类型等信息一无所知,这就需要攻击者从硬件入手一步步去分析并获取上述信息,同时利用万用表、示波器等设备定位下载接口或调试接口,最终获取到终端的固件信息。
远程攻击是指利用终端的漏洞或缺陷进行的非接触式攻击,主要包括利用系统或第三方应用漏洞进行攻击;通过远程在智能终端中安装木马或非法程序;对OTA升级包实施非法篡改;通过干扰、嗅探、伪造等方法对Wi-Fi、蓝牙等无线通信协议进行攻击。
下面是3个在实验室研究和产品渗透检测过程中发现的比较典型的物联网智能终端成功渗透案例。
作为物联网娱乐终端,OTT盒子是某宽带运营商宽带的附赠产品,为后续内容增值服务提供基础,目前中国三大运营商都在大量拓展OTT盒子的部署。OTT盒子的设备鉴权通过宽带帐号实现,并且需要对宽带服务类别进行判定。除了鉴权以外,OTT盒子针对外设接口进行了访问控制,使得这套系统的安全系数进一步提高。
由于OTT盒子都采用Android操作系统,盒子内安装了很多Android应用,并且这些应用都是第三方厂商所开发,其对信息安全的考虑极为有限,同时Android操作系统本身也存在很多漏洞,盒子开发商并不一定会修复这些漏洞,因此针对这类设备通常的黑盒测试思路是从Android应用入手,从应用、操作系统本身代码漏洞以及网络连接方面入手,最终实现破解。
基于上面的思路,渗透人员在众多应用中发现了一款名为《边锋象棋》的游戏在网络传输中采用了明文,藉此逆向该应用代码进一步发现了更为严重的安全漏洞,因此可从这个应用入手进行黑盒渗透测试。
具体渗透测试流程如下:搭建DNS服务器,并且在DNS服务搭建中,使用了很多灵活的python脚本,针对渗透目标程序进行安全过滤,DNS服务器搭建好了之后,设置OTT盒子连接该DNS服务器。
网络连通之后,打开边锋象棋,发现通信协议均为明文,但是有一部分签名以及包属性的校验,应用商店下载App会进行这些校验。渗透人员在DNS服务器对这些App属性进行设置,然后利用新安装的App来激活Android系统中的漏洞。测试发现,系统果然成功安装了伪装的《边锋象棋》应用,并且执行了里面的非法代码。
这些非法代码实际上就是执行了系统的一个预留功能。OTT盒子的开发人员为了调试方便,将ADB服务进行了简易隐藏,运维阶段利用一个特殊的命令就可以激活隐藏的ADB服务。这个服务通过接收一个特定的Message消息来实现这个功能,借助该Message信息可以获取Root Shell权限,完成OTT盒子的破解。
IP摄像头的安全性一直是物联网安全行业重中之重的话题,近年来摄像头相关的安全漏洞更是层出不穷。可以确定的是,随着IP摄像头智能化以及云共享功能的发展,扩展的智慧功能、连接将给黑客提供更多的攻击方式以及渠道。如明文传输和系统漏洞,就可能被黑客利用来实施非法入侵操作。
IP摄像头一般都会使用Linux嵌入式系统,而开源的Linux在每个版本上均存在很多安全漏洞,大多数IP摄像头厂商都未能对这些安全漏洞及时进行修复。即使漏洞已经修复并推出安全升级包,但由于OTA升级机制的缺乏,很多IP摄像头都无法及时更新软件,导致安全漏洞仍然遗留。所以针对该类设备的渗透测试应该从Linux操作系统漏洞入手。
市场上某款常用摄像头外部可通过网线进行连接,并且有1个SD卡槽。通过扫描可发现,该摄像头设计者打开了很多关键端口。对比公开的CVE漏洞库,发现这款IP摄像头是一款安全漏洞较多的设备,并且当前IP摄像头大部分都是使用公开标准的终端固件与WebUI,所以可以通过某个公开的WebUI漏洞寻找突破口。
具体渗透测试流程如下:在通过WebUI的一个POST请求对摄像头进行本地解析的时候,会对字符串解析过度,执行字符串后段不该执行的代码,藉此可对关键端口的密码进行重置,使得渗透人员在外部就直接连接上RootShell,成功实施破解。
随着汽车智能化的高速发展,安全问题逐渐摆上台面,梆梆安全研究院所承接的某款智能网联汽车安全渗透项目里就包括 T-BOX 和 IVI 智能终端的安全渗透。
智能网联汽车里的T-BOX大多使用传统嵌入式实时操作系统;车载信息娱乐系统IVI主要使用三大主流操作系统:Linux、Android和QNX,不过当前IVI的系统有向Android操作系统靠拢的趋势;App也是目前智能汽车的标配之一,可以实现开车门、车窗、空调等车身控制功能。通常情况下针对这类智能终端的渗透测试,大多会从最复杂、潜在漏洞最多的IVI系统入手。
在App、IVI到T-BOX这一链条中,其中某个环节一旦出现安全问题,都会对整个智能网联汽车造成严重威胁。
具体渗透测试流程如下:首先从智能网联汽车常见的IVI中的娱乐App入手,提取出其中的一款盗版“导航App”,渗透人员控制住其外网环境,针对这款App进行强制更新。发现该款App在更新时没有针对更新源的网络环境以及App包真伪性进行安全校验,那么渗透人员就可以替换这个升级包,将针对性的攻击程序安装在IVI上,然后进一步控制整个IVI系统。
进入IVI系统后,同时又发现了严重的鉴权与接口暴露安全问题。IVI系统对汽车CAN总线保留了一个权限过大的接口,利用这个接口,不仅可以实现IVI服务,甚至可以猜测出部分T-BOX的功能。且工作人员为了便于维护还遗留了一个ADB组件在T-BOX中,渗透人员进一步利用这个组件,获取到了T-BOX的Root权限,实现了对智能网联汽车T-BOX和IVI终端的安全渗透。
文章由梆梆安全研究院投稿,雷锋网宅客频道(微信公众号:letshome)编辑。关注雷锋网宅客频道,回复关键词:物联网白皮书,下载报告原文。
雷锋网宅客频道编辑