物联网大乐透:寻找绝对安全的物联网设备

译者:興趣使然的小胃

预估稿费:400RMB

投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿

 

一、前言

黑色星期五及网络星期一(Cyber Monday,也叫剁手星期一)都是大家疯狂购物的节日。厂商会将大量各类产品推广到市场中,其中也包括许多新潮的联网设备,他们保证这些设备可以让广大群众的生活更加轻松、快乐以及舒适。作为卡巴斯基实验室中的一员,我们与世界上其他人一样,也属于狂热的剁手一族,但即使在大促销时节,我们依然关注的是物联网(Internet of Things, IoT)设备。设想一下,如果我们购买了一台咖啡机,但这台咖啡机会将我们家庭或公司的Wi-Fi密码透露给匿名黑客,或者我们使用了某台婴儿监视器,但这款设备会将家庭日常活动在线直播给你不想分享的某个人,这些情况肯定不会那么有趣。

目前的IoT安全性与理想状态还有很大一段距离,购买这些设备时,你可能是为自家房屋购买了一款数字后门。因此,今年在准备剁手IoT设备时,我们可以先问自己一个问题:购买一台绝对安全的物联网设备的概率到底有多高?为了找到这个问题的答案,我们做了个小实验:我们随机挑选了几款物联网设备,并对这些设备的安全性做了检查。我们的调查并没有特别深入,如果你大概了解一些安全知识,你一眼就能看出来某款设备的安全性。根据实验结果,我们找到了一些相当严重的安全问题,也找到了几个不那么严重且无关紧要的问题。

这个实验中,我们研究了如下几个物联网设备:智能电池充电器、应用控制的玩具车、应用控制的智能体重秤、智能吸尘器、智能熨斗、IP摄像头、智能手表以及智能家庭中心。

二、智能充电器

我们检查的第一款设备是一款智能充电器,这款充电器内置Wi-Fi连接功能。你可能会问一个问题:谁会需要一个可以远程控制的电池充电器,特别是这款充电器需要用户来手动设置需要充电的电池呢?不论如何,这种设备的确存在,而且除了给电池正常充电外,你还可以控制充电的方式。

我们使用各种类型的电池来测试该设备的充电和放电功能,这类电池的标称电压从3到12伏不等。这款设备带有Wi-Fi模块,用户可以远程连接该设备并控制充电过程、修改充电设置、随时检查电池当前电量。

设备启动后会自动切换到“访问点(access point)”模式,随后用户可以连接该设备,打开管理接口Web页面。充电器使用过时且易受攻击的WEP加密方式来提供无线访问功能,并没有使用WPA2加密方式。虽然设备的WiFi连接经过密码保护,但默认密码为“11111”,你可以在设备附带的官方文档中找到这个密码,你也可以在网上搜到这个密码。然而,用户可以将该密码改成更加安全的密码。话虽如此,出于某种原因,设备将密码长度限制为5个字符。基于这些信息,我们只需要四分钟就能破解设备当前使用的密码。此外,设备所提供的Web接口并没有采用任何密码保护机制。一旦该设备连入家庭Wi-Fi网络,任何人都可以访问该页面。

你可能会问,有谁会那么无聊去攻击一款智能充电器?你的猜测可能是对的,因为世界上很少有黑客会花时间专门做这种事情,特别是这种攻击要求攻击者处在Wi-Fi信号范围内,或者能够访问用户的Wi-Fi路由器(这个问题可能更加棘手)。另一方面,只有恶趣味的人才想去干扰电池的充电方式,或者随机切换充电过程参数。实际环境中,这种漏洞可能会导致电池发热着火或者破坏电池正常功能,具体后果取决于所使用的电池型号,攻击者可能出于趣味性或者想证明自己实力就肆意发起这种攻击。

总结一下:使用这种设备时,通常情况下你并不会面临远程网络攻击的危险。然而,如果你的电池在充电过程中着火,这种现象可能表示你的邻居中隐藏着一名黑客,此时你需要修改设备所使用的密码。这种现象也可能是远程黑客的劳动成果,表明你的Wi-Fi路由器需要更新固件,或者需要修改密码。

三、智能应用控制的无线间谍玩具车

当有些人追求的有实际意义的IoT功能时,其他人追求的是娱乐性和趣味性。毕竟每个人在年轻时都想拥有属于自己的间谍工具。此时,一款智能应用控制的无线间谍玩具车应该就能实现许多人的这一梦想。

这款智能设备实际上是装有轮子的间谍相机,用户可以通过Wi-Fi连接这款设备,通过应用程序控制设备行为。我们可以在玩具店中看到这款设备的身影,而Wi-Fi是该设备的唯一连接接口。官方在iOS以及Android上提供了两款管理应用。我们猜测设备所使用的Wi-Fi连接可能存在一些脆弱性,并且实验证实我们的猜测准确无误。

这款设备能够执行如下命令:

1、四处移动(带有多种驾驶模式,可以控制速度及方向);

2、在移动过程中,通过导航摄像头查看图像,以便给车子导航;

3、查看主摄像头的图像,用户可以旋转改变主摄像头的方向(该摄像头还带有夜视模式);

4、录制照片及视频,保存在手机内存中;

5、通过内置扬声器远程播放音频。

设备一旦连接到手机,就成为没有密码保护的一个Wi-Fi接入点。换句话说,只要连接到这款设备,任何人都可以发送远程命令,只需要知道可以发送哪些命令即可。当你发现儿童玩具具备间谍功能,并且该玩具缺乏密码保护时,考虑到安全性,你想设置一个密码,然而你会发现这款设备根本不提供这种功能。如果你在笔记本上安装了基本的网络嗅探软件,你想知道玩具车当前正在拍摄的内容,那么你可以拦截车辆与控制设备之间的通信数据,轻松做到这一点。

也就是说,远程攻击者无法实施攻击,只有在该玩具启用Wi-Fi功能后,攻击者才能在玩具的Wi-Fi信号覆盖范围内实施攻击。但另一方面,你无法阻止攻击者在被动模式下监听你的流量,准确捕获设备的使用时机。因此,如果最近你发现自己家附近有人在使用Wi-Fi天线,那么这些人很可能对你的私生活感兴趣,并且他们也具备偷窥你隐私的能力。

四、带有摄像头的智能扫地机器人

说到身边带有摄像头的设备时,我们也花了点时间调查为什么智能吸尘器需要搭载网络摄像头,难道这种设备需要使用摄像头来拍摄灰尘,或者探索令人兴奋的床底世界?开个玩笑而已,这种功能专为清洁爱好人士准备:如果你觉得手动控制吸尘器的同时还能检查吸尘器的具体工作是一件非常酷的事情,那么这就是你在寻找的那个产品。当然,你需要记住,这款设备并不是那么安全。

你可以通过特定的应用程序来管理这款设备:你可以控制吸尘器的移动方向、在打扫时观看实时视频、拍摄照片等等。视频流结束后视频也随着消失不见,但照片留在了应用中。

用户可以用两种方法通过Wi-Fi连接设备:

1、将吸尘器作为访问点加以使用。如果家中没有Wi-Fi网络,这款设备自己就可以提供连接功能。你可以通过移动应用连接到吸尘器,然后开始劳作。

2、将吸尘器作为Wi-Fi适配器,连接到已有的访问点中。通过访问点模式连接设备后,你可以将该设备连入家庭Wi-Fi网络,使连接更加稳定,延伸操作半径。

由于用户通过手机应用管理这款设备,因此用户首先需要通过某种授权认证机制。有趣的是,用户只需要输入默认的弱口令就能通过验证。因此,攻击者只需要连入吸尘器的访问点,在应用中输入默认密码来配对手机及吸尘器。配对完成后,攻击者就可以控制这款设备。此外,连入本地网络后,本地网络中就能看到这款扫地机器人,任何人只要连入同一个网络,都可以通过telnet协议来使用这款设备。虽然设备连接经过密码保护,并且用户可以修改默认密码(实际生活中很少有人会这么做),但设备并不具备防护暴力破解的功能。

此外,虽然应用及设备之间的流量经过加密处理,但密钥硬编码在应用中。对这款设备的检查工作仍在进行中,还有许多地方尚未澄清,但第三方可以从Google Play上下载这款应用,找到硬编码的密钥,在中间人(Man-in-the-Middle)攻击场景中使用该密钥攻击设备使用的通信协议。

当然,与其他Android应用控制的联网设备一样,扫地机器人也面临root型恶意软件的风险:获取最高用户权限后,攻击者可以通过设备摄像头获取信息。在研究过程中,我们也注意到这款设备本身运行的是一个非常过时的Linux操作系统,这种系统没有打上许多补丁,可能导致设备受到其他类型攻击的影响。然而,这一点并不是我们这次研究的内容。

五、智能摄像头

IP摄像头是IoT黑客最喜欢的设备。从历史上看,除了非常明显的未授权窥探之外,这种设备还可以用来发起破坏性DDoS攻击。不出所料,今天生产这种设备的厂商几乎都是黑客的攻击目标。

2015年,我们想评估当时消费行业中IoT设备的安全状态,当时我们研究的是一款婴儿监视器;今年我们关注的是另一种类型的摄像头:用于外部监控的摄像头。比如,你可以在院子里安置这种摄像头,以防邻居偷摘你的苹果树。

刚开始时,由于厂商忽视安全问题,来自同一厂商的这种设备及相关设备的安全性得不到保障。但在2016年时,许多研究人员公布了大量研究成果[1][2],使公众了解到这类摄像头存在未授权访问问题,从此时起这类摄像头的保护问题得以大大缓解。

在此之前,这个厂商出售的所有摄像头都带有默认出厂账户及默认密码“12345”。当然,用户一般不会修改这个密码。2016年,在安全问题方面该厂商成为了行业翘楚,因此他们开始供应处于“未激活”模式下的摄像头。在激活以前,用户无法使用摄像头。激活过程中用户需要创建密码,设置网络参数。此外,设备会检查密码是否满足基本的复杂度要求(长度、字符种类、包含数字及特殊字符)。用户可以通过本地网络,使用任何主机访问摄像头,完成激活操作。

经过这种改动,带有默认密码的摄像头更新固件后,会要求用户更改密码,并且每次连接时都会警告用户存在安全风险。设备使用的密码强度很高,如下所示:

此外,厂商也能够防护暴力破解密码攻击:

此外,在2016年,厂商还在固件中添加了一个新的功能。当某个IP连续5到7次输错密码时,设备就会阻止该IP,防止暴力破解攻击。锁定状态30分钟后会自动取消。这种功能默认启用,可以显著提高安全性。

尽管如此,这款摄像头并非尽善尽美。比如,摄像头与云端的数据交互使用HTTP协议,其中将摄像头的序列号作为ID来使用。这种方式导致设备容易受到中间人攻击影响。

除了标准的WEB界面之外,设备还提供了专门的配置工具,可以用来搜索网络中的摄像头、显示摄像头上的数据、执行基本设置操作(如激活、修改密码、重置网络设置的密码)。当搜索设备时,PC端会发送一个以太网帧。

摄像头的响应数据未经加密,包含产品型号信息,如固件信息、重置日期以及网络设置信息等。由于这个数据以非加密方式进行传输,并且请求动作不需要授权,因此一个以太网报文就能检测到网络中的所有摄像头,获取这些摄像头的详细信息。算法还有另一个脆弱性:当设备生成响应数据时并没有考虑时间延迟因素。因此,攻击者很容易在网络中发起DDoS攻击,将这种请求报文发给以太网中的所有摄像头。

除了上面描述的这种协议之外,该摄像头还支持标准的SSDP协议以发送通知信息,任何软件或者硬件可通过这种协议自动探测到这类摄像头。SSDP数据中也包含与摄像头有关的信息,如产品型号及序列号。

另一个攻击点是远程密码重置,厂商通过技术支持服务提供远程密码重置功能。只要接入摄像头网络中,任何人都可以通过摄像头专用配置工具选择目标摄像头,发起密码重置请求。这一过程会生成包含摄像头序列号的一个小文件。用户可以将该文件发送给技术支持服务,技术支持服务可能会拒绝重置请求,或者发送一个特定的代码以便用户输入新密码。有趣的是,该服务并不会检查用户是否是摄像头的所有者,因为室外监控场景最初的假设就是摄像头位于遥不可及的位置,想远程识别请求发起者基本上是一件不可能完成的任务。在这种场景下,内部的网络犯罪攻击是最可能的攻击行为。

总结一下:就网络安全而言,这款设备并不是最糟糕的一款设备;然而,这款设备还是存在一些细枝末节的安全问题,可能会被攻击者加以利用。

六、智能浴室体重秤

想象一个场景:智能体重秤被攻击后,如果受害者不支付赎金,攻击者就威胁会在线公布受害者体重指数。当然这只是一个玩笑而已,但我们的研究表明这种攻击场景依然存在可能性。

我们的研究对象是一款智能设备,手机应用可以通过蓝牙与其交互,但该设备也搭载了Wi-Fi模块。这种连接方式可以给用户提供许多附加功能,比如可以通过密码保护的私有网站来监测体重指标,也可以分析身体数据,也能与各种医疗保健应用相集成。有趣的是,Wi-Fi唯一能提供的功能就是接收天气更新信息。

我们决定在LAN中,使用ARP欺骗方法,配合中间人攻击来测试是否能够在这款设备上任意更新固件或者安装软件。我们的研究结果如下文所述。

手机通过HTTPS方式与主服务器交互,执行一系列查询操作。体重秤本身通过蓝牙方式与手机连接。配对过程非常简单:用户通过应用程序发起连接请求,然后再打开体重秤的蓝牙连接即可。由于配对过程时间非常有限,因此攻击者很难在不引起用户注意的情况下完成设备匹配操作。

除此之外,设备通过蓝牙来传输与用户有关的各种数据,如通知邮件、体重指标等。设备通过应用程序接收更新,应用程序将更新文件的当前版本信息及其他一些参数发送给服务器,而服务器会将某个链接发送给应用程序,该链接包含待下载的文件及文件校验和信息。

然而,更新文件通过HTTP通道进行传输,没有经过加密保护,更新文件本身也未经加密保护。因此,如果攻击者可以监听设备连接的那个网络,那么他们就可以伪造服务器响应报文,也可以伪造更新文件。

利用这个问题,我们首先就能“回滚”更新文件的版本,然后安装一个修改版的更新文件,该文件与服务器返回的更新文件有所不同。在这种场景中,攻击者可以发起更进一步的攻击,比如在设备上安装任意软件等等。

当然也有一些好消息,比如该设备没有搭载摄像头,因此即使找到其他严重漏洞,用户仍处于安全境地。除此之外,还有谁会专门花时间来攻击智能体重秤呢?其实这个问题还是有存在的可能性,我们在这一部分的开头图片中已经给出了这种攻击场景。另外,我们前面也提到过,有些黑客只是出于趣味的破解目标来攻击设备,以证实自己具备这种能力。

七、智能熨斗

提到智能熨斗,你肯定会说破解这种设备是非常有趣的一个过程。我们非常好奇这种设备存在的意义。分析这种设备时,我们很可能会找到一个严重的漏洞,以及相应的利用方法。然而现实并没有那么有趣。根据我们的研究结论,我们无法通过攻击智能熨斗来引燃整个房屋。然而,这款设备上还存在一些非常有趣的问题。

该设备具备蓝牙连接功能,用户可以通过移动应用远程管理各种设备选项。由于厂商一般不会在保护蓝牙通道上花费太多心思,因为他们认为攻击者并不会对智能熨斗感兴趣,因此我们假设服务器与设备之间的通信过程并不安全,某人可以借此控制设备及其敏感数据。

一旦设备连接到用户的移动手机,用户就可以通过iOS或者Android应用来控制这款智能熨斗。通过应用,用户能执行如下操作:

1、查看熨斗的方向(处于平放、直立或者挂起状态);

2、禁用熨斗(并不支持启用熨斗,这一点非常遗憾);

3、激活“安全模式”(在这个模式下,熨斗并不会响应机械开关动作。如果用户想在这一模式中启动熨斗,则需要在应用中关掉安全模式)。

在开关安全性方面,如果熨斗在平放静止状态中超过5秒钟,或者在直立状态下超过8分钟,那么熨斗会自动关闭。

用户也可以通过互联网来控制该熨斗。为了实现这个功能,用户需要在该设备附近设置一个网关,比如能够访问互联网的独立的智能手机或者智能平板,然后通过特定应用来控制熨斗。

基于这些信息,我们决定仔细研究该设备所使用的应用程序。这款设备对应三款应用:一个为iOS应用,其他两个为Android应用。当用户通过蓝牙来管理熨斗并且位于熨斗附近时,可以使用第一款Andorid应用;第二款Android应用承担网关功能,当用户不在家时,可以通过该应用访问熨斗。iOS应用用于蓝牙管理场景。对于这三款应用,我们想说的是厂商并没有对应用代码做任何混淆处理。

在分析在线传输的流量时,我们发现Android蓝牙应用使用的是HTTPS协议,这是一种较好的解决方案。而iOS应用或者Android网关应用并没有采用这种机制。我们决定测试iOS应用的通信流量。

上图说明:通过应用发起钓鱼攻击

运行该程序后,用户可以通过该应用在线注册,然后通过HTTP,以未加密方式发送数据。利用这一点,我们可以在本地网络中拦截移动应用以及厂商服务器之间的通信流量,在这个基础上发起攻击。

前面我们提到过,手机还可以通过BLE与智能熨斗通信。BLE流量也没有经过加密处理。进一步深入分析该应用后,我们根据设备间传输的内容,发现了可以使用的命令,通过创建这些命令,我们成功实现了对该熨斗的控制。

因此,在了解这些信息后,作为一名黑客,我们可以做哪些工作?首先,如果我们能捕捉到用户的凭据信息,那么就能通过官方应用的认证机制,关掉熨斗或者将其设置为“安全模式”。这里我们需要注意的是,这些应用可以用于该厂商的所有智能设备,并且这些设备的数量还不在少数。这大大延伸了我们的攻击面。

如果我们错过机会,无法拦截授权数据,那也不用担心。由于设备与应用之间交换的数据没有经过加密保护,你可以拦截到服务器发往应用的令牌(token)信息,然后自己创建命令发送给熨斗。

因此,本地网络中的攻击者可以执行如下攻击操作:

1、窃取用户身份信息(窃取私人邮箱地址、用户名、密码);

2、勒索(利用用户的天真无邪,启用熨斗的“安全模式”,使得用户无法通过机械手段打开熨斗,然后要求用户支付赎金才停用熨斗的“安全模式”)。

当然,实际环境中很难广泛使用这些攻击方法,但这种攻击场景依然存在可能性。试想一下,如果因为熨斗本身安全性不佳,而不是因为复杂攻击行为导致你的私人信息被窃取,那么这是多么尴尬的一件事情。

八、智能家庭中心

目前大部分智能连接设备存在的最大问题是,它们基本上都是作为一个独立的设备来与智能手机协同工作,并没有集成到一个更大的智能生态系统中。智能中心(smart hub)部分解决了这个问题,该中心将多个节点联结在一处,不同智能设备之间可在此交换数据。虽然其他研究人员在寻找安全的智能中心方面已经做了许多研究,研究表明用户很难找到足够安全的智能中心,但我们仍然尝试了各种方法。我们的研究对象是带触摸屏幕的一款优质智能中心,能够在不同的物联网协议下工作。该设备的兼容性很好,能够与ZigBee和ZWave家庭自动化标准兼容,并且使用起来非常方便。根据厂商的描述,只需三分钟,用户就能通过触摸屏完成该设备的参数设置。

另外,该智能中心还可用作无线Wi-Fi路由器。

这款多功能设备支持各种功能(可作为路由器、范围扩展器、接入点或无线网桥),我们决定检测其中最常见也最为危险的一种安全风险,即未经授权从外部接入路由器。这种风险危害很大,一旦攻击成功,攻击者很可能会获取对用户智能家居及所有连接设备的完全控制权。

不出所料,实验表明该设备的确存在这种安全风险。

为了验证这个猜想,我们搭建了一个本地局域网,将一台个人电脑、智能设备和一个路由器连接在一起。这些网络设备都有各自的IP地址,我们成功扫描出可用的端口情况。最初的研究表明,默认情况下,设备在WAN上开放了两个端口。第一个为80端口,该端口是HTTP协议的常用端口。在Web应用场景中,服务器会使用该端口与客户端交互,以发送或接收HTML页面或者数据。如果80端口处于开放状态,则意味着任何用户都能够连接80端口,通过HTTP协议访问用户设备。

第二个为22端口,用户通过该端口与SSH(Secure Shell)服务器通信来远程控制设备。如果攻击者能够获取或成功爆破root账户密码,就可以获取对设备的控制权,但通常情况下很难做到这一点。然而在研究过程中,我们发现智能中心中存在一个有趣的安全风险,能够使这种攻击过程变得更加简单。

在分析路由器的过程中,我们发现它可能存在一种非常常见的威胁风险,即为弱口令生成问题。在路由器系统中,我们发现了名为“rname”的一个ELF(Executable and Linkable Format,可执行和可链接格式)文件,其中包含一份名称列表。查看这份列表并对比屏幕上显示的密码,我们很容易可以发现,设备的密码会根据这份列表来生成。因此,攻击者不需要花费太长时间就能爆破出正确的口令。

经过硬件重置后,设备的口令有所变化(几个符号略有变化)。然而,主要的密码生成机制并没有改变,因此攻击者还是有可能能生成正确的密码。

此外我们发现,用户经常使用root账户来访问设备。因此,攻击者足以掌握登录用户名及基本的密码生成信息,这些信息可以给攻击者带来极大的便利。

如果该设备拥有公共IP地址,并且上述端口处于对外开放状态,那么大家都可以通过互联网从外部访问该路由器。另一种情况下,如果服务商或者ISP(Internet Service Provider,互联网服务提供商)没有正确配置本地网络中相邻主机的可见状态,那么同一ISP内的整个本地网络都可以访问这些设备。

总的来说,与市场上的其他智能中心一样,这款优质设备依然暴露了非常严重的问题,这是入侵者喜闻乐见的攻击面,对此我们已见惯不怪。这个攻击面不仅覆盖了设备本身,而且还涵盖了其所在的整个网络环境。接下来是这次实验的总结部分。

九、总结

根据实验观察结果,我们发现IoT设备厂商在研发产品时都会假设如下前提条件:

1、由于设备功能有限,即使设备被成功攻击也不会造成严重后果,因此这类设备不会被攻击;

2、当设备不能通过简单的方法来与外部互联网联系,并且攻击者需要连入设备所在的本地网络才能实施攻击时,厂商会认为这种IoT设备的安全等级处于可以接受的范围。

我们必须承认的是,这些假设具有一定的合理性,但如果这一网络中的路由器或者多功能智能中心存在漏洞时(如我们前面提到的那款智能中心设备),连接到该节点的所有其他设备都暴露在攻击范围内,此时这种假设就无从谈起。从这时起,无论安全问题轻重与否,其他所有设备都会受到安全威胁干扰。设想一下,如果一栋房屋、公寓或者办公室同时装有所有这些设备,当某人尝试使用本文描述的这些攻击方法时,这是多么可怕的一种场景。

这个攻击场景如下所示(从上到下,从左到右说明):

1、搭载摄像头的智能扫地机器人:由于厂商在安全方面警觉性较低,任何人都可以连接并访问这款设备,指引该设备在不同房间内移动,通过设备摄像头拍摄照片、录制视频。

2、智能熨斗:iOS应用收到及传输的数据没有经过加密或保护处理,攻击者可以利用这些数据给用户带来安全危害(如窃取身份信息、实施欺诈攻击等)。

3、智能应用控制的无线间谍玩具车:由于设备缺乏密码保护,连入该设备网络的任何用户都可以向设备发送远程命令,在主人驾驶玩具车的同时,利用摄像头悄悄监视周围情况。

4、智能充电器:充电器使用了默认密码,犯罪分子无需攻击网络环境,就可以利用该密码控制设备,损坏电池并破坏充电过程。

因此,回到本文开头我们自己提出的那个问题,此时我们可以给出一个结论,那就是根据我们的研究成果,我们认为现在想找到一个完全安全的物联网设备还是非常困难的一件事情。

另一方面,不论你购买的是哪一款产品,这种产品很可能不会给你带来非常严重的安全问题,但如果你将其连接到存在漏洞的路由器或者智能中心上时,情况就没那么乐观。

得到这个结论后,联想目前仍处于销售旺季时节,我们想跟大家分享在物联网设备选购方面的一些建议:

1、当选购设备,提升自己生活的智能水平时,用户需要将安全因素考虑在内。在购买搭载摄像头的扫地机器人或者智能熨斗时,你需要三思而后行,确认自己是否需要这些功能,因为它们可能会将你的个人数据泄露给未知的第三方。

2、在购买IoT设备之前,可以先在互联网上找找设备是否存在漏洞的相关新闻。物联网现在是一个非常热门的话题,许多研究人员在寻找物联网设备安全问题方面做得非常出色,他们的研究对象包括各种物联网设备:从婴儿监视器到应用控制的来复枪等,不一而足。你想购买的那款产品可能已经被安全人员检查过,你可以上网找找该设备存在的漏洞是否已被修复。

3、购买市场上最新推出的产品并不一定是个好的选择。新的产品中可能带有以前常见的漏洞,并且最新推出的设备可能还包含安全研究人员尚未发现的安全问题。对消费者来说,最好的选择是购买已经多次更新过软件的那些产品。

4、为了弥补来智能设备带来的网络安全问题,卡巴斯基实验室发布了针对智能家居以及物联网的安全解决方案:卡巴斯基IoT扫描器(Kaspersky IoT Scanner)测试版。这是一款免费的Anroid应用,可以扫描家庭Wi-Fi网络,提示用户连接家庭网络的设备以及这些设备的安全等级。

对于IoT设备厂商而言,我们的建议非常简单:在研发新设备及更新老产品时,请积极与安全厂商及安全社区合作。

十、题外话:八分之一的概率

在我们的实验过程中,我们发现了一款设备,对我们而言这款设备的安全性足以满足我们要求,至少该设备不会导致私人数据泄露或其他破坏性后果。这是一款智能手表。与其他大多数物联网设备类似,用户需要通过应用才能完成设备与智能手机的配对及使用过程。在实验过程中,我们发现设备与智能手机之间、应用与厂商云服务之间的交互数据大多都经过可靠的加密处理,如果不深入研究加密协议或者厂商的云服务,我们很难在这款设备上执行恶意操作。

在配对过程中,使用者需要使用智能手表上显示的pin码,才能通过认证过程。pin码随机生成,智能手表并不会传输这个数据。在应用中输入这个pin码后,手机及手表会生成加密密钥,后续的所有通信数据都会经过该密钥加密处理。因此,即使攻击者成功完成BLE流量拦截任务,也必须解密捕获的数据包。为了解密通信数据,攻击者必须捕获加密密钥生成阶段中的通信流量。

想从该设备中直接获取用户数据(如步数、心率等)显然是不可能完成的任务。手表与手机之间的同步数据也经过加密处理,发往服务器的数据也采用相同方式处理。因此,我们无法解密手机上存放的数据,也无法了解使用的加密算法及加密密钥。

从我们的视角来看,我们认为厂商对这款产品真正负起了责任,可以成为一个典型的模范。因为默认情况下,厂商可以假设没有人会去攻击他们生产的智能手表,即便攻击成功,也不会带来严重的后果,根据这些假设,厂商可以降低他们在安全方面的投入。这种假设有一定道理,因为很难想象攻击者会千方百计去窃取用户每天的行走步数信息,或者窃取用户每时每刻的心跳速率。尽管如此,厂商仍然尽心尽力,消除这类微不足道的可能性。这一点非常好,因为网络安全并不等同于对产品中某些漏洞的修复过程,修复过程非常烦人,需要付出的代价也非常昂贵,我们认为网络安全是物联网产品中非常重要并且极具价值的一个特性,这个特性与设备的可用性、设计理念以及设备功能处于同等地位。我们相信,只要IoT厂商能清楚认识到这一点,整个互联生态系统就会比现有状态更为安全。

(完)