1
安全,其实有时就是个信任问题。
一个女孩问她男朋友:“微信里那个女的是谁?" “和朋友吃饭,男的女的?”"你手机为什么不能给我看?” 男朋友觉得自己不被信任,女孩则说自己没安全感。这就是安全和信任的关系。
网络安全,本质上也是个信任问题。一封钓鱼邮件骗走公司的数据资料,一个钓鱼网站盗取了账号密码,一个虚假 WiFi 劫持了通讯流量。这些都和受害者太过相信对方,“安全感”太强有关。
“假设所有的人、设备、环境都是不可信的”,这其实已成为了网络攻防上一个常规的理念。个人对周围环境的“过度信任”,可能让自己被黑,而服务提供商出现"过度信任“,则不仅坑自己,更坑用户。一个智能家居的提供商一旦被黑,可能导致他们的用户连生活都将无法自理。
“安全源于信任,而黑客打破信任。” 这是上周日(3月25日)安恒信息安全研究院的副院长王欣在云盾先知白帽大会上的演讲议题。他尝试从攻击者的角度上,剖析智能家居的“过度信任”带来的安全问题。通过几个智能设备被黑的例子,他让雷锋网编辑了解到一个道理 —— 对智能家居的过度信任,真的可能让你被黑到生活不能自理!
【云盾先知白帽大会现场】
一般的智能家居设备大多有这么一个流程:
【简化的智能设备交互流程】
在局域网中,智能网关和终端设备之间利用蓝牙、WiFi 等方式进行无线通讯。手机在同一个局域网中可以直接去下指令到智能网关再到终端设备。终端设备的相关信息再通过智能网关传回用户的手机,供用户查看。
如果需要远程遥控家中的设备,智能网关则利用无线路由器把数据发送到云端,在云端和手机通信,然后执行同样执行类似上述的工作流程。
其中每个环节都涉及到相互信任的问题,而“过度信任”则可能让任何一个环节成为攻击者的突破口。王欣在现场通过几个攻破智能设备的例子,解释了这一观点:
当一个智能网关需要升级固件时,用户的手机会收到升级提示,只要用户在手机上点击升级,云端就会向具体的智能网关发送更新指令。
问题就在于,有些智能设备和网关对云端 IP 地址是完全信任的,智能设备也没有对更新回来的固件进行校验。
通过观察设备的控制、存储芯片,可以了解到芯片类型。通过相关资料,可以了解它使用的操作系统、固件的存储路径等相关信息。然后就可以根据它的操作系统进行相关编译,从而察看到操作系统的内存分区,了解到内存分区的长度、启动代码以及WiFi、音乐播放等各种功能区的代码。
完成了前期的准备工作后,攻击者可以在局域网做一个DNS解析,伪造网络请求,将一个带恶意后门的固件刷入到设备之中。一旦受害者的网关固件被刷入恶意固件,就相当于放在家里的一颗定时炸弹,攻击者随时都可以引爆它。
王欣说,他在分析另一款智能网关时,发现它开放了一个端口,这个端口原本是为了方便技术人员做调试。通常情况下,许多厂商为了后期维护方便,会使用相同或者有规律的密码。
于是王欣通过 Binwalk (一个固件分析工具)去读取它的存储芯片,在它文件系统中加载一些内容,然后通过解包、逆向工程的方法获取了它的密码。
由于密码相同或者有规律,只要搞定一个设备的密码,就可以任意登录该系列产品的所有设备,这就是厂商对于自我过于信任导致的安全问题。
3.智能家居网关对用户的信任
此外,王欣还发现一些更加欠缺安全考虑的做法:有的厂商会直接开放 ssh 远程登录给用户,然后将的 ssh 密码设置成统一的 12345678 等弱口令。
“或许厂商觉得世上好人比坏人多”王欣对此表示非常无奈。因为只要存在一个“坏人”,他就能轻而易举地利用该问题搞定其他用户的设备。
王欣介绍了他在网上看到一个例子:一个外国研究者分析一款无人机时,发现设备开放了一些端口用于和手机APP 进行交互。然后问题又出现了,无人机对手机 APP 过度信任,通过对APP进行逆向,发现它在APP里面藏着一个固定的密码。
通过对设备固件进行降级操作,可以让无人机还原到存在安全问题的固件版本,从而成功拿到控制权限。这其中最关键的问题就在于,智能设备默认手机APP是安全的,对APP“过于信任”。
智能网关和智能终端设备通信时,会使用很多无线协议,其中 ZigBee 协议由于低成本、低耗电而被广泛应用。
王欣说,测试 ZigBee 安全的关键点在于找到它的加密密钥。通常可以在鉴权或者传输过程中,利用被动和主动监听的方式获取。有的厂商担心传输过程中出现问题,可能会把加密密钥在设备出厂时进行设置,通过逆向终端设备固件的方式同样可能获得加密密钥。总之,对于智能网关来说,终端设备也并不一定完全可信。
总之,智能家居安全性涉及的东西非常广泛。但“信任”问题,总是最关键的,对于安全研究人员来说,每一个涉及到“信任”的环节都值得质疑和推敲,因为任何一次“过度信任”都可能导致安全问题。
雷锋网注:本文内容源自2017年阿里云云盾先知白帽大会上王欣的议题演讲内容,雷锋网经授权整理发布,对议题中部分技术细节进行了删减。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。