在當(dāng)代消費(fèi)者的消費(fèi)觀念里，智能設(shè)備永遠(yuǎn)不嫌多。任何一個(gè)具備高級(jí)功能的聯(lián)網(wǎng)設(shè)備都能大大提高我們生活的便利性。從安全廠商的角度來(lái)看，對(duì)物聯(lián)網(wǎng)安全的研究也永無(wú)止盡。我們不斷開展實(shí)驗(yàn)，致力于揭示各個(gè)物聯(lián)網(wǎng)設(shè)備的脆弱性。

安全研究人員已經(jīng)孜孜不倦地對(duì)互聯(lián)設(shè)備進(jìn)行了多年的研究，但是物聯(lián)網(wǎng)安全問題依然存在。在以往的研究中，我們已經(jīng)發(fā)現(xiàn)了入侵互聯(lián)設(shè)備和網(wǎng)絡(luò)的方法。這次我們把目光鎖定在控制家中傳感器和設(shè)備的智能集線器。它的功能十分多樣化，比如，管理和監(jiān)控家居能源的使用狀況。

這個(gè)小小的設(shè)備能夠接收所有與它相連設(shè)備的信息，一旦出現(xiàn)異常，就會(huì)以電話、短信、電子郵件等方式通知主人。并且它也能夠與本地緊急裝置相連接，發(fā)生緊急情況時(shí)將警報(bào)信息傳遞給相關(guān)人。那么，如果有人阻斷這個(gè)信息傳遞的過程、掌握了這個(gè)智能集線器的控制權(quán)怎么辦?這個(gè)舒適便利的dream house就會(huì)陷入一場(chǎng)噩夢(mèng)。因此，我們展開了滲透實(shí)驗(yàn)，發(fā)現(xiàn)了為網(wǎng)絡(luò)犯罪分子提供多種攻擊機(jī)會(huì)的邏輯漏洞。

一、物理訪問

首先檢查網(wǎng)絡(luò)外部的攻擊者可以利用哪些漏洞。我們發(fā)現(xiàn)集線器的固件是公開的，可以在沒有訂閱任何供應(yīng)商服務(wù)器的情況下進(jìn)行下載。因此，任何人都能下載并對(duì)其中的文件進(jìn)行修改分析。

我們還發(fā)現(xiàn)影子文件中根賬戶的密碼是用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)算法加密的。實(shí)踐證明，這種加密算法安全性不高，攻擊者可以通過暴力破解的方式成功獲取散列并找到root密碼。

當(dāng)然，只有獲得物理訪問權(quán)限，才能最終通過root權(quán)限訪問智能集線器，修改文件或使其執(zhí)行不同的命令。我們也沒有忽視黑客對(duì)設(shè)備硬件的攻擊，不是所有的設(shè)備都能在這樣的測(cè)試中生存下來(lái)。

測(cè)試實(shí)驗(yàn)表明，事實(shí)的確如此，很多設(shè)備都難以防御硬件攻擊。另外，我們也在這個(gè)過程中發(fā)現(xiàn)了實(shí)現(xiàn)遠(yuǎn)程訪問的可能性。

二、遠(yuǎn)程訪問

對(duì)于集線器的控制，用戶一般會(huì)通過特定的移動(dòng)應(yīng)用或web門戶完成個(gè)人配置，并檢查所有連接的系統(tǒng)。

集線器“主人”會(huì)發(fā)送一個(gè)與集線器同步的命令。此時(shí)，所有設(shè)置都打包在config.jar文件中，集線器自動(dòng)下載并執(zhí)行該文件。

從上圖中可以發(fā)現(xiàn)，config.jar文件通過http發(fā)送，設(shè)備的序列號(hào)就是設(shè)備的標(biāo)識(shí)符。因此，黑客可以使用任意序列號(hào)發(fā)送相同的請(qǐng)求，并下載存檔文件。

這時(shí)候，有人可能會(huì)說序列號(hào)沒有那么容易破解。但事實(shí)卻相反，目前市場(chǎng)上各大產(chǎn)品的序列號(hào)安全性做得并不好，很多情況下都可以通過字節(jié)選擇的方式進(jìn)行暴力破解。驗(yàn)證序列號(hào)時(shí)，遠(yuǎn)程攻擊者可以發(fā)送一個(gè)特制的請(qǐng)求，如果設(shè)備已經(jīng)在系統(tǒng)中注冊(cè)，服務(wù)器就會(huì)返回信息。

此外，我們還發(fā)現(xiàn)很多用戶會(huì)在完全無(wú)意識(shí)地情況下在網(wǎng)上發(fā)布集線器照片甚至公開序列號(hào)信息，這些操作安全風(fēng)險(xiǎn)極高，易被有心人惡意利用。

在分析config.jar存檔文件時(shí)，我們發(fā)現(xiàn)它還包含了登錄名和密碼等能夠通過Web界面訪問用戶賬戶的所有必要數(shù)據(jù)。盡管密碼在存檔文件中處于加密狀態(tài)，但在免費(fèi)工具和開源密碼數(shù)據(jù)庫(kù)的幫助下，黑客完全有能力通過哈希解密來(lái)破解密碼。而且，在賬戶的初始注冊(cè)階段，密碼設(shè)置要求并不復(fù)雜，即沒有長(zhǎng)度、特殊字符等要求。因此，這也在很大程度上降低了黑客破解密碼的難度。

完成到這一步，我們已經(jīng)基本獲得了目標(biāo)受害者智能家居的訪問權(quán)限，并且能夠更改所有設(shè)置和傳感器信息，同時(shí)也獲得了IP地址。

由于用戶往往也會(huì)把他們的聯(lián)系方式上傳到系統(tǒng)中用于接收警報(bào)和通知，因此存檔文件中可能還包含著用戶個(gè)人的敏感信息。

因此，遠(yuǎn)程攻擊者還可以輕易地通過生成并向服務(wù)器發(fā)送正確請(qǐng)求的方式下載訪問用戶web界面賬戶的數(shù)據(jù)。用戶web界面賬戶沒有像2FA(雙因素認(rèn)證)這樣的安全防護(hù)層。最終，攻擊者就能夠完全控制受害者的家，隨意開關(guān)燈光、水閥，甚至打開家門。我們?cè)詾榈男腋５闹悄苌钷D(zhuǎn)眼成了噩夢(mèng)。我們將實(shí)驗(yàn)過程中發(fā)現(xiàn)的漏洞均一一提交給了相應(yīng)的廠商，他們也都積極地修復(fù)了這些安全問題。

三、小微設(shè)備的安全隱患

除了智能集線器，我們還關(guān)注了智能燈泡的安全問題。盡管它沒有什么關(guān)鍵功能，但是安全隱患依然令人擔(dān)憂。

智能燈泡需要連wifi，并通過一個(gè)手機(jī)應(yīng)用控制。首先用戶需要下載移動(dòng)應(yīng)用程序(iOS或Android)，打開燈泡，連接到由燈泡創(chuàng)建的Wi-Fi接入點(diǎn)，并向燈泡提供本地wifi的SSID和密碼。

用戶可以通過手機(jī)上的應(yīng)用開關(guān)燈泡、定時(shí)、更改亮度和顏色。我們的研究目標(biāo)是這個(gè)小小的燈泡是否能夠幫助攻擊者獲取本地網(wǎng)絡(luò)的訪問權(quán)限，最終發(fā)起攻擊活動(dòng)。

經(jīng)過多次嘗試，我們幸運(yùn)地發(fā)現(xiàn)了一種通過移動(dòng)應(yīng)用獲取設(shè)備固件的方法。這里有一個(gè)有趣的現(xiàn)象：燈泡不直接與移動(dòng)應(yīng)用交互，而是通過云服務(wù)進(jìn)行通信。這就解釋了為什么我們?cè)谛崽奖镜鼐W(wǎng)絡(luò)流量時(shí)沒有找到兩者之間交互的情況。

燈泡向服務(wù)器請(qǐng)求固件更新，并通過不保護(hù)與服務(wù)器通信的http協(xié)議進(jìn)行下載。如果攻擊者和它們處于同一網(wǎng)絡(luò)中，那么實(shí)現(xiàn)“中間人攻擊”就不是一件難事。

通過實(shí)驗(yàn)，我們不但了解了固件信息，同時(shí)也獲取了用戶數(shù)據(jù)?？焖俨榭磁c云共享的信息后，并沒有發(fā)現(xiàn)從設(shè)備或內(nèi)部網(wǎng)絡(luò)上傳的敏感信息。但其中卻保留著該燈泡之前連接的所有wifi的憑證，這些憑證一直以不加密的狀態(tài)存留著。即使設(shè)備“恢復(fù)出廠設(shè)置”，這些數(shù)據(jù)仍然可用。因此，公開轉(zhuǎn)售使用過的智能燈泡也不是一種明智的行為。

四、保護(hù)智能house的安全

我們最新的研究再次證明，“智能家園”在看似提高了生活品質(zhì)的同時(shí)，可能也給埋下了巨大的安全隱患。只需幾個(gè)邏輯漏洞以及你下意識(shí)公開的序列號(hào)，不法分子就能輕而易舉地打開你的家門。另外，對(duì)智能集線器的遠(yuǎn)程訪問和控制還會(huì)引起更嚴(yán)重的后果：高昂的電費(fèi)、“水漫金山”，甚至還有智能家居給你帶來(lái)的心理陰影……

而且，就算你的智能集線器是安全的，也不要忽視燈泡這樣的小物品。越是容易忽略的地方，越有可能被攻擊者利用。

說來(lái)說去，還是回到了原點(diǎn)，我們?cè)谌粘Ｉ钪幸欢ㄒ⒁怵B(yǎng)成良好的上網(wǎng)習(xí)慣：

• 務(wù)必更改默認(rèn)密碼，增加密碼強(qiáng)度，并且定期更換。
• 不要在社交網(wǎng)絡(luò)上公開智能設(shè)備的序列號(hào)、IP地址和其它敏感信息。
• 關(guān)注物聯(lián)網(wǎng)漏洞的最新信息。

還有一個(gè)重要方面是，智能設(shè)備供應(yīng)商應(yīng)該加強(qiáng)產(chǎn)品的安全性能，保護(hù)客戶利益不受損害。除了進(jìn)行必要的網(wǎng)絡(luò)安全檢查之外，還應(yīng)在產(chǎn)品發(fā)布前的測(cè)試階段，根據(jù)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)進(jìn)行充分的安全測(cè)試，而不僅僅是完成基本的功能測(cè)試。一個(gè)具備企業(yè)社會(huì)責(zé)任感的物聯(lián)網(wǎng)設(shè)備供應(yīng)商才是未來(lái)科技的主宰者。