“只有具備犯罪能力的人才能洞察他人的犯罪行為!”

—— 題記

【目錄】

1、引言：戲里戲外

2、探索：未雨綢繆

3、發(fā)現(xiàn)：危機(jī)四伏

3.1 智能家居

3.2 移動(dòng)金融設(shè)備

3.3 車聯(lián)網(wǎng)

3.4 可穿戴設(shè)備

4、沉淀：厚積薄發(fā)

5、展望：路漫修遠(yuǎn)

【引言：戲里戲外】

圖1：《竊聽(tīng)風(fēng)云》電影片段

如果有看過(guò)電影《竊聽(tīng)風(fēng)云》的朋友，應(yīng)該都記得里面存在【圖1】的片段，故事背景是這樣的：

男主角為了進(jìn)入警察局的檔案室偷取資料，通過(guò)黑客技術(shù)黑入警察局的監(jiān)控系統(tǒng)，將監(jiān)控視頻替換為無(wú)人狀態(tài)，以隱藏潛入者的行蹤，防止被警察發(fā)現(xiàn)。

在許多黑客題材的電影或電視劇里面，經(jīng)常會(huì)看到類似的場(chǎng)景，是不是很酷炫，很有黑客范?但是這畢竟是電影里的場(chǎng)景，在現(xiàn)實(shí)生活中是否真的存在，技術(shù)上是否能夠?qū)崿F(xiàn)呢?

此前，騰訊安全平臺(tái)部“物聯(lián)網(wǎng)安全研究團(tuán)隊(duì)”在研究某款監(jiān)控?cái)z像頭時(shí)，發(fā)現(xiàn)其存在嚴(yán)重漏洞(目前團(tuán)隊(duì)已協(xié)助廠商修復(fù)完畢)，利用漏洞可篡改監(jiān)控視頻【圖2】，達(dá)到開(kāi)篇中提到的《竊聽(tīng)風(fēng)云》場(chǎng)景。我想這張圖已經(jīng)回答了上面的問(wèn)題，這也證明當(dāng)前一些智能設(shè)備產(chǎn)品確實(shí)存在安全問(wèn)題，并且甚至可能影響到人們的財(cái)產(chǎn)及人身安全。 

 

圖2：利用攝像頭漏洞篡改監(jiān)控視頻

【探索：未雨綢繆】

隨著物聯(lián)網(wǎng)的興起，許許多多的智能設(shè)備如雨后春筍般涌現(xiàn)?？梢灶A(yù)見(jiàn)到，在物聯(lián)網(wǎng)世界里，傳統(tǒng)的安全問(wèn)題可能會(huì)被復(fù)現(xiàn)，而它的危害將不再僅僅局現(xiàn)于虛擬世界，也可能直接危害真實(shí)的物理世界，比如人身安全等等。

當(dāng)前關(guān)于智能設(shè)備的產(chǎn)品及媒體報(bào)導(dǎo)信息很多，筆者對(duì)一些主流的常見(jiàn)智能設(shè)備作了簡(jiǎn)單歸類【圖3】，有些未能完全歸入，因?yàn)楝F(xiàn)在的智能設(shè)備又多又雜，其中附上的部分文章只是部分類別智能設(shè)備的代表，其它同類設(shè)備還有很多，無(wú)法一一列出。 

 

圖3：智能設(shè)備產(chǎn)品歸類圖

根據(jù)上圖歸類的框架，研究團(tuán)隊(duì)挑選其中不同方向的智能設(shè)備進(jìn)行研究分析，研究過(guò)程中也確實(shí)發(fā)現(xiàn)了不少問(wèn)題。同時(shí)像烏云漏洞平臺(tái)也經(jīng)?？梢钥吹揭恍┲悄芗揖勇┒吹钠毓猓谥悄茉O(shè)備這塊確實(shí)潛伏著各種安全危機(jī)。

【發(fā)現(xiàn)：危機(jī)四伏】

經(jīng)過(guò)一段時(shí)間的研究，我們發(fā)現(xiàn)一些當(dāng)前流行的多款智能設(shè)備都存在安全漏洞，包括智能家居、移動(dòng)支付設(shè)備、車聯(lián)網(wǎng)等領(lǐng)域，同時(shí)在外部曝光的也很多，比如一些可穿戴設(shè)備很多跟用戶財(cái)產(chǎn)安全掛鉤較緊的一些智能設(shè)備都普遍存在安全問(wèn)題，總結(jié)起來(lái)可能有這幾方面原因：

Ø 智能設(shè)備領(lǐng)域剛剛起步，業(yè)界對(duì)智能設(shè)備安全的經(jīng)驗(yàn)積累不足;

Ø 許多創(chuàng)業(yè)公司把主要精力投入到業(yè)務(wù)量上，而忽略對(duì)安全的重視;

Ø 業(yè)界缺乏統(tǒng)一技術(shù)標(biāo)準(zhǔn)，在通訊協(xié)議、安全體系設(shè)計(jì)等諸多方面都參差不齊，導(dǎo)致一些隱患的存在。

1、智能家居

智能家居產(chǎn)品應(yīng)該是所有智能設(shè)備中最火一個(gè)領(lǐng)域，雖然有些只是把傳統(tǒng)家居通過(guò)手機(jī)/平板接入網(wǎng)絡(luò)實(shí)現(xiàn)的“智能”，但也正因?yàn)槿绱耍旁试S攻擊者利用漏洞去遠(yuǎn)程攻擊這些設(shè)備，從虛擬網(wǎng)絡(luò)逃逸到真實(shí)物理世界，影響人們的生存環(huán)境。 

 

圖4：智能家居產(chǎn)品

目前在市面上，我們可以看到形形色色的智能家居產(chǎn)品，包括智能電視、洗衣機(jī)、監(jiān)控?cái)z像頭、插座、門鎖、冰箱、窗簾、空調(diào)等等【圖4】，但及相關(guān)安全問(wèn)題也逐漸被爆露出來(lái)，特別是GeekPwn2014智能硬件破解大賽之后，有更多關(guān)于智能設(shè)備漏洞被公開(kāi)，在烏云和FreeBuf上可以找到很多，有的是APP漏洞、有的是控制站點(diǎn)漏洞，有的是硬件固件漏洞。從這也可以看出智能設(shè)備安全涉及面更廣，不再局限于傳統(tǒng)的Web領(lǐng)域或者二進(jìn)制領(lǐng)域，而是場(chǎng)大雜燴了。

在GeekPwn 2014大賽上，騰訊“物聯(lián)網(wǎng)安全研究團(tuán)隊(duì)”的小伙伴們現(xiàn)場(chǎng)演示了對(duì)智能攝像頭【圖2】、智能門鎖【圖5】以及智能插座【圖6】的破解，利用這些漏洞，攻擊者可以控制家電、篡改監(jiān)控視頻，打開(kāi)門鎖進(jìn)行入室盜竊，直接危害人們的財(cái)產(chǎn)安全。在烏云漏洞平臺(tái)上，也經(jīng)常曝光一些智能家居產(chǎn)品的漏洞，許多產(chǎn)品采用網(wǎng)站作為智能家居的控制系統(tǒng)，當(dāng)站點(diǎn)被黑，就可能導(dǎo)致許多用戶的智能家居被黑客控制【圖7】。 

 

圖5：騰訊同事為記者演示如何破解智能門鎖 

 

圖6：破解某智能插座實(shí)現(xiàn)遠(yuǎn)程控制 

 

圖7：利用站點(diǎn)漏洞控制智能家居產(chǎn)品(源自：烏云)

2015年初，小米發(fā)布基于ZigBee協(xié)議的智能家庭套裝，使得基于ZigBee協(xié)議通訊的智能家居產(chǎn)品又映入人們的眼簾。隨即，我們研究團(tuán)隊(duì)也及時(shí)對(duì)ZigBee協(xié)議安全性進(jìn)行研究，發(fā)現(xiàn)其主要風(fēng)險(xiǎn)主要壓在密鑰的保密性上，比如明文傳輸密鑰【圖8】，或者將密鑰明文寫(xiě)在固件中，這些都可能直接導(dǎo)致傳輸?shù)拿舾行畔⒈桓`取，甚至偽造設(shè)備去控制智能家居產(chǎn)品。關(guān)于ZigBee安全更多的探討，可以參考《ZigBee安全探究》。 

 

2、移動(dòng)金融設(shè)備

移動(dòng)金融設(shè)備主要還是偏向于手持刷卡設(shè)備，并支持手機(jī)綁定控制的，比如基于藍(lán)牙的移動(dòng)POS機(jī)或刷卡器，一些智能驗(yàn)鈔機(jī)也可以算在本類設(shè)備里面，這類產(chǎn)品很多，價(jià)格幾十到幾百不等，相對(duì)還算便宜。

早在2013年，國(guó)外安全公司IOActive就曾對(duì)某款驗(yàn)鈔機(jī)進(jìn)行研究，發(fā)現(xiàn)其在固件更新時(shí)未作簽名校驗(yàn)，導(dǎo)致可刷入被惡意篡改的固件，最后研究人員通過(guò)刷入經(jīng)篡改的固件，使得將一張手寫(xiě)的假鈔被驗(yàn)鈔機(jī)識(shí)別為真鈔的攻擊場(chǎng)景【圖9】。 

 

圖9：篡改驗(yàn)鈔機(jī)固件繞過(guò)假鈔檢測(cè)

2014年，我們研究團(tuán)隊(duì)發(fā)現(xiàn)目前市面上常見(jiàn)的移動(dòng)POS機(jī)普遍存在嚴(yán)重漏洞，利用漏洞可以在無(wú)卡無(wú)密碼的情況下盜刷他人銀行卡，取走卡上余額【圖10】，具體可參見(jiàn)發(fā)表在TSRC博客上的文章《你的銀行卡，我的錢——POS機(jī)安全初探》。 

 

圖10：利用移動(dòng)POS機(jī)漏洞盜刷銀行卡

移動(dòng)金融設(shè)備的淪陷，更為直接地危害到用戶的財(cái)產(chǎn)安全，漏洞的出現(xiàn)可直接導(dǎo)致真金白銀的流失，危害是淺顯易見(jiàn)的。

3、車聯(lián)網(wǎng)產(chǎn)品 

 

圖11：車聯(lián)網(wǎng)

車聯(lián)網(wǎng)【圖11】的概念早在2010年就出現(xiàn)過(guò)，但一直到2013年來(lái)逐漸火起來(lái)，還有BlackHat大會(huì)上對(duì)汽車的破解議題，也引發(fā)了廣泛關(guān)注。

2014年，我們也發(fā)現(xiàn)某款車聯(lián)網(wǎng)產(chǎn)品存在漏洞，可以遠(yuǎn)程破解藍(lán)牙密碼，并實(shí)時(shí)獲取汽車數(shù)據(jù)，比如車速、溫度等等【圖12】，由于設(shè)備硬件不支持寫(xiě)OBD接口(車載診斷系統(tǒng)接口)，否則就可能遠(yuǎn)程控制汽車。 

 

圖12：遠(yuǎn)程破解某車聯(lián)網(wǎng)產(chǎn)品連接密碼實(shí)現(xiàn)對(duì)汽車實(shí)時(shí)數(shù)據(jù)的竊取

在今年BlackHat USA大會(huì)上，著名安全研究人員Charlie Miller與 Chris Valasek就演示了如何遠(yuǎn)程黑掉一輛汽車【圖13】，這也成為菲亞特克萊斯勒召回140萬(wàn)輛汽車的緣由，更加引發(fā)人們對(duì)車聯(lián)網(wǎng)安全的關(guān)注。 

 

圖13：BlackHat上演示如何遠(yuǎn)程黑掉汽車

4、可穿戴設(shè)備 

 

圖14：可穿戴設(shè)備

可穿戴設(shè)備根據(jù)人體部分劃分，大體可以分為：頭頸穿戴設(shè)備、手腕穿戴設(shè)備、腰部穿戴設(shè)備、腿腳穿戴設(shè)備，其中最為常見(jiàn)的穿戴設(shè)備應(yīng)該就是運(yùn)動(dòng)手環(huán)和手表了。

在GeekPwn 2014大會(huì)上，360兒童衛(wèi)士手表就被破解【圖15】，主要利用其中2處漏洞，一個(gè)是敏感信息竊取，可以隨時(shí)隨地獲得孩子的位置信息;一個(gè)是把兒童衛(wèi)士的手機(jī)客戶端踢掉線，使家長(zhǎng)失去和小孩的聯(lián)系。 

 

圖15：360兒童衛(wèi)士被破解

2015年中旬，我們研究團(tuán)隊(duì)也曾對(duì)Android Wear進(jìn)行分析，雖然最終未發(fā)現(xiàn)安全問(wèn)題，但通過(guò)分析也學(xué)習(xí)到不少內(nèi)容。比如，許多Android系統(tǒng)原先的組件都被割舍掉，特別是經(jīng)常被黑的Webview被移除了，導(dǎo)致攻擊面被縮小很多。同時(shí)，在Android Wear上，普通應(yīng)用程序與Google Play服務(wù)之間均有雙向檢驗(yàn)【圖16、17】，會(huì)相互判斷各自調(diào)用者的合法性，因此無(wú)法通過(guò)偽造請(qǐng)求實(shí)現(xiàn)通知消息的偽造。 

 

圖16：手表應(yīng)用會(huì)檢測(cè)調(diào)用者(手機(jī)應(yīng)用)的包名及簽名 

 

圖17：手機(jī)端應(yīng)用Google Play 服務(wù)的安全檢測(cè)

以上幾個(gè)實(shí)例只是冰山一角，但它涵蓋了人們?nèi)粘５淖?、行、金融消費(fèi)等活動(dòng)。隨著智能設(shè)備的普及和功能的多向化，人們的衣、食、住、行已經(jīng)逐漸被覆蓋到，比如已經(jīng)出現(xiàn)的智能內(nèi)衣(衣)、智能筷子(食)等等，甚至一些涉及人體健康的生物醫(yī)學(xué)智能設(shè)備也逐漸出現(xiàn)，特別是像心臟起搏器、胰島素泵等醫(yī)療設(shè)備，倘若出現(xiàn)安全漏洞，可能就是直接危害生命的問(wèn)題。

【沉淀：厚積薄發(fā)】

在安全圈有句行話叫“未知攻，焉知防”，這與我在題記中所闡述的道理是一致的。研究并破解智能設(shè)備只是為了更好地防御攻擊，制定更完善的安全體系。

為此，我們針對(duì)智能設(shè)備開(kāi)發(fā)者(面向騰訊公司內(nèi)部)制定出《智能設(shè)備安全開(kāi)發(fā)規(guī)范》，以幫助業(yè)務(wù)同事在開(kāi)發(fā)智能設(shè)備時(shí)能夠規(guī)避常見(jiàn)的安全問(wèn)題，提升業(yè)務(wù)產(chǎn)品的安全性。

此處簡(jiǎn)單列舉幾點(diǎn)智能設(shè)備的安全開(kāi)發(fā)實(shí)踐：

1、由于智能設(shè)備涉及領(lǐng)域較廣，因此傳統(tǒng)的WEB、APP安全檢測(cè)依然需要使用到;

2、固件安全保護(hù)：對(duì)升級(jí)固件進(jìn)行簽名校驗(yàn)，同時(shí)盡量避免留硬件調(diào)試針腳，防止提取固件進(jìn)行逆向，也可以參考某移動(dòng)POS機(jī)的做法，即拆開(kāi)自毀的霸氣做法;

3、無(wú)線傳輸加密保護(hù)：不僅局限于WEB傳輸，其它藍(lán)牙、ZigBee、RFID等等無(wú)線傳輸途徑均需要做好敏感信息的保護(hù)工作;

4、權(quán)限控制保護(hù)：做好水平與垂直權(quán)限的防護(hù)，避免被越權(quán)操作，當(dāng)前許多智能家居設(shè)備就普遍存在此類問(wèn)題，導(dǎo)致可被遠(yuǎn)程控制;

5、安全編碼：無(wú)論是固件層開(kāi)發(fā)，還是網(wǎng)站、手機(jī)APP，都應(yīng)遵循相應(yīng)的安全開(kāi)發(fā)規(guī)范，相信許多企業(yè)都有其內(nèi)部的一些安全開(kāi)發(fā)規(guī)范。

【展望：路漫修遠(yuǎn)】

目前智能設(shè)備安全問(wèn)題的出現(xiàn)僅是個(gè)開(kāi)端，未來(lái)隨著其普及化，漏洞所能造成的危害將會(huì)被擴(kuò)大化，滲透到人們?nèi)粘Ｉ畹姆椒矫婷?，未?lái)智能設(shè)備的安全道路還有很長(zhǎng)的路要走。

未來(lái)我們會(huì)繼續(xù)關(guān)注智能設(shè)備安全、移動(dòng)通訊安全(3G、4G)、車聯(lián)網(wǎng)安全、移動(dòng)支付等等方向，繼續(xù)完善相關(guān)安全規(guī)范和審計(jì)工具，以幫助提高業(yè)界產(chǎn)品的安全性，也歡迎各位業(yè)界同仁共同探討學(xué)習(xí)。

【注】：本文中所提及的所有漏洞，均已反饋給相應(yīng)廠商修復(fù)。