物聯網黑客：如何再次入侵智能家居

物聯網設備永遠不會太多——這是人們在購買具有高級功能的聯網設備時經常會想到的。從我們的角度來看，我們也認為物聯網調查不會太多。因此，我們繼續我們的實驗來檢查和揭示它們的脆弱程度，並跟蹤我們的研究重點——智能家居。

研究人員已經對智能家居進行了多年的分析，但仍對其中的網路安全感到擔憂，這會讓用戶面臨很大的風險。在我們之前的分析中，已經發現了可能會影響到設備和網路的攻擊向量。這次，我們選擇了一個智能控制器，用來控制安裝在家裡的感測器和設備。它有不同的用途，如監測和控制水、能源甚至安全系統。

這個小盒子接收所有連接到它的設備的信息，如果發生了什麼事情或者出了什麼問題，它會根據所設置的通知方式立即以電話、簡訊或電子郵件的方式通知用戶。有趣的是，還可以將控制器與本地應急服務相連，因此將相應地向它們發送警報。那麼，如果有人能夠中斷智能家居的系統並控制家庭控制器呢？它不僅會讓用戶的生活變成一場噩夢，也會讓緊急服務變成一場噩夢。我們決定檢查一個假設，結果發現了邏輯漏洞，為網路罪犯提供了多個攻擊向量機會。

物理攻擊

首先，我們決定看看攻擊者除了網路之外還可以利用什麼進行攻擊。我們發現，智能控制器的固件是公開的，可以從供應商的伺服器上下載，不需要任何協議。因此，一旦下載了，任何人都可以很容易地修改和分析其中的文件。

我們發現，影子文件中的root帳戶的密碼是用數據加密標準(DES)演算法加密的。實踐表明，這種加密演算法不被認為是安全的或能抵抗高級攻擊的，因此攻擊者可以通過強力攻擊獲取散列hash並找到root 密碼。

要訪問具有「root」許可權的智能控制器並修改文件或執行不同的命令，需要進行物理訪問。然而，我們不會忽視設備的硬體入侵，並不是所有的設備都能在硬體入侵後繼續使用。

我們親自研究這個設備，當然不是每個人都能做到。然而，我們的進一步分析表明，還有其他方法可以獲得遠程訪問。

遠程攻擊

對於智能控制器的控制項，通過特殊的移動應用程序或網站門戶，可以設置個人配置並檢查所有連接的系統。

要實現它，擁有者需發送一個命令與智能控制器進行同步。此時，所有命令都被打包到配置jar文件，然後由智能控制器下載並實現。

但是我們可以看到，配置jar文件通過HTTP發送，設備的序列號用作設備標識符。因此，黑客可以用任意序列號發送相同的請求，並下載存檔。

有些人可能認為序列號是非常獨特的，但開發人員證明並非如此：序列號沒有得到很好的保護，可以通過位元組選擇方法強制使用。要檢查序列號，遠程攻擊者可以發送一個特殊的請求命令，根據伺服器的回複信息，判斷設備是否已在系統中註冊。

此外，我們的初步研究表明，用戶在沒有意識到的情況下，通過在網上發布他們的技術評論，或者在社交網路上發布一個智能控制器的照片，並公開展示設備的序列號，就已將自己置於風險之中。安全問題正朝我們而來。

與此同時，在分析配置jar文件歸檔文件時，我們發現它包含在web界面訪問用戶帳戶所需的所有數據——登錄賬號和密碼。儘管密碼在歸檔文件中加密，但通過散列解密，可以藉助公開可用的工具和開放源代碼的密碼資料庫來破解密碼。重要的是，在系統中初始註冊用戶帳戶時，沒有對密碼的複雜性進行要求(長度、特殊字元等)。這使得密碼提取更加容易。

因此，我們可以訪問用戶的智能家居，所有的設置和感測器信息可被任意更改和操作，包括IP地址。

考慮到用戶經常將自己的電話號碼上傳到系統中以接收警報和通知，可能檔案中還有其他個人敏感信息。

因此，生成並向伺服器發送正確請求所涉及的幾個步驟可以為遠程攻擊者提供下載數據以訪問用戶的web介面帳戶，該帳戶沒有任何其他的安全層，例如2FA(雙因素身份驗證)。因此，攻擊者可以控制某人的家，關掉燈或水，或者更糟的是，打開門。所以，有一天，智能生活可能會變成一場噩夢。我們向供應商報告了所有關於發現的漏洞的信息，現在正在進行修復。

總會有柳暗花明的一天

除了智能控制器，我們還有更小的東西——一個智能燈泡，它沒有任何特別關鍵用途，也不具備物理安全。令我們吃驚的是，它竟也存在令人擔憂的安全問題。

智能燈泡連接到Wi-Fi網路，並通過移動端應用程序控制。用戶需要先下載移動應用(iOS或Android)，打開燈泡，連接到燈泡創建的Wi-Fi接入點，並通過本地Wi-Fi網路向燈泡設定SSID和密碼。

通過應用程序，用戶可以控制燈泡開關、設定時間以及調節燈泡的亮度和顏色。我們的目標是找出查明該設備是否可能以任何方式幫助攻擊者訪問本地網路，從而最終有可能進行攻擊。

經過幾次嘗試，我們幸運地發現了通過移動應用程序訪問設備固件的方法。一個有趣的事實是，燈泡並不直接與移動應用程序交互。相反，燈泡和移動應用程序都連接到雲服務，通過雲服務進行通信。這解釋了為什麼在探查本地網路流量時，幾乎沒有發現兩者之間的交互。

我們發現，燈泡的固件下載及更新，需向一個不保密與伺服器通信的HTTP協議發出請求。如果攻擊者處於同一網路中，那麼中間人攻擊將是一項簡單的任務。

使用flash進行的硬體搜索不僅將我們引向固件，也指向用戶數據。快速查看雲共享的信息，似乎沒有從設備或內部網路上傳敏感信息。但是我們找到了所有的Wi-Fi網路的證書，這些Wi-Fi網路是燈泡之前連接過的，在沒有加密的情況下永遠存儲在設備的快閃記憶體中——即使在設備強制重置之後，這些數據仍然可用。因此，在網上市場轉售肯定不是一個好主意。

應對措施

我們的最新研究再次證實，「智能家居」並不意味著「安全家居」。幾個邏輯漏洞，連接一個無意識公布的序列號，可以打開你的家並進行網路犯罪。除此之外，遠程訪問和控制你的智能中樞會導致各種各樣的破壞活動，這可能會讓你付出高昂的電費、水費，甚至是你的健康。

但是，即使你的智能中樞是安全的，也不要忘記細小的物件：像燈泡這樣的微小東西也可以作為黑客的入口點，為黑客們提供進入當地網路的途徑。

這就是為什麼用戶遵守看似簡單的網路規則，是非常重要的：

更改默認密碼。使用一個嚴謹而複雜的密碼代替默認密碼，且定期更新密碼。

不要在社交網路上分享你的智能設備的序列號、IP地址和其他敏感信息。

請注意並隨時檢查更新的物聯網漏洞的最新信息。

同樣重要的是，供應商應該提升和加強他們的安全能力，以確保他們的設備得到充分的保護，從而使他們的用戶得到充分的保護。除了網路安全檢查（這和在發布產品之前測試其他功能一樣重要），必須遵循物聯網的網路安全標準。卡巴斯基實驗室最近對ITU-T（國際電信聯盟——電信行業）提出了建議，旨在維持對物聯網系統的適當保護，包括智能城市、可穿戴設備和獨立醫療設備等。

https://securelist.com/iot-hack-how-to-break-a-smart-home-again/84092/

原文標題：

IoT hack: how to break a smart home… again

原文作者：

Andrey Muravitsky, Vladimir Dashchenko, Roland Sako

本文歸屬於藍盾股份深藍實驗室

DEEPBLUE——藍盾股份深藍實驗室是藍盾股份旗下專門進行安全趨勢研究、安全熱點事件追蹤和漏洞挖掘分析的專業團隊。團隊通過AI大數據的技術實現全天候、全方位感知網路安全態勢，做到提前預判並提供解決方案，為客戶提供從傳統到前沿的全方位安全保障，並將研究的成果及時轉化到藍盾安全產品中。

近期熱點

關於藍盾

藍盾信息安全技術股份有限公司是中國信息安全行業的領軍企業，公司成立於1999年，並於2012年3月15日在深交所創業板上市，股票代碼：300297。公司憑藉安全產品、安全方案、安全服務、安全運營「四位一體」聯動發展的經營模式，為各大行業客戶提供一站式的信息安全整體解決方案。公司持續推進「大安全」產業發展戰略，不斷加快內生增長及外延擴張步伐，積極開拓市場，大舉研發創新，形成和鞏固了公司「智慧安全領導者」的市場地位。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！