一時間,我們日常使用的裝置多出了智能的概念,小到一塊手表,大到一輛汽車,通過有線或無線的方式實作了互聯,使得他們不隻是具有傳統的功能,而是更加的smart起來。這些裝置被統稱為iot(internet of things),他們無處不在,應用的場景有汽車、醫療、物流運輸、智能家庭、娛樂等領域。2015年,裝置的數量呈持續增長趨勢,據gartner公司預測,到2020年物聯網裝置将達到260億的規模。
物聯網利用多種如sub-1g、nfc、藍牙、wifi、zigbee無線通訊技術,又涉及到硬體、裝置固件、移動端應用軟體、雲端服務。可以說iot融合了很多技術,而且形态各異,但從實體結構上可分成:智能終端裝置、手機移動端、雲端這三部分。通過手機端下載下傳移動應用,與雲端進行通信或直接和終端裝置通訊,發送控制指令,再由雲端轉發控制指令給裝置終端,這樣就可以實作在任意能夠接入網際網路的環境下,去控制一台在内網的智能裝置,進而實作智能化。
這些裝置讓我們的生活變得便利的同時,也給黑客提供了新的土壤,所暴露出的安全問題越來越多,被關注度也與日俱增。2015年公布了一系列高危漏洞,這些漏洞有的暴露使用者隐私,有的影響使用者财産,有的甚至對生命安全構成了威脅。如2015年7月,菲亞特克萊斯勒美國公司宣布召回140萬輛配有uconnect車載系統的汽車,黑客可通過遠端軟體向該車載系統發送指令,進行各種操作如減速、關閉引擎、讓刹車失靈等,嚴重危害人身安全。2015年8月的黑帽大會和世界黑客大會上,包括汽車在内的各種智能裝置都被爆出安全漏洞,黑客利用安全漏洞可以控制智能手機、汽車、交通紅綠燈,甚至搭載有智能狙擊鏡的進階狙擊步槍,讓人驚歎不已。因為iot裝置數量和互聯的特性,一個小問題,其影響和嚴重程度就會被放大到幾十倍,甚至更多。
根據阿裡移動安全團隊對物聯網安全性的調查,以及對裝置如物聯網汽車的中控顯示、智能路由器、網絡攝像頭、智能開關、家庭網關、門鎖、家用告警器等的分析,發現一些共有的安全問題,以作學習和思考。
圖1 物聯網安全隐患
硬體接口,例如jtag、swid、uart,用于裝置制造商在設計時的前期調試,生産時的程式燒錄,以及診斷測試的目的。我們發現80%的裝置的硬體上都保留了調試接口,攻擊者通過這些接口擷取到大量實作上的細節資訊。例如裝置與雲端和移動應用軟體的通訊協定、資訊完整性校驗的算法、加密過程中所使用的秘鑰,再利用對這些資訊的了解,遠端影響更多同類型的裝置。
圖2 暴露調試接口的硬體示例
<b>1. </b><b>90%</b><b>以上的固件更新更新機制實作不安全</b>
固件更新的問題包括:更新包的來源是否安全、更新包下載下傳傳輸是否安全、更新檔案是否存在敏感資料、執行更新操作是否進行完整性檢查、是否對更新包的版本進行檢查、更新包的内容是否進行加密處理。這些問題都會影響到攻擊者是否可獲得固件、解壓、分析并進行篡改,最終燒錄到裝置上導緻持續性影響。
測試項
博聯智能開關
極路由
wink
hub
某型汽車多媒體中控
ubi
myq garage
來源不安全
yes
no
内容沒有加密
更新部署沒有簽名檢查
沒有版本降級限制
表1 部分廠商固件上安全隐患的對比
<b></b>
<b>2. </b><b>固件對通訊資料的安全檢查不完整</b><b></b>
雖然通訊協定中定義了序号、校驗值,但固件在實作時沒有進行校驗和檢查,或檢查的方式過于簡單,可被攻擊者輕易繞過。例如汽車鑰匙系統中使用了keeloq滾碼,鑰匙每發送一次指令後,内部的序号會增加,汽車ecu本應檢測正确的序号才認為有效。但因為車廠在實作上的問題,容易導緻此類危害。如比亞迪某些車型在連續發送兩條指令(和)後,序号會被重置到,如果捕獲到連續2次解鎖車門的指令信号,就可以實作無限次開車門。類似的問題在沃爾沃、别克君威等部分型号的車輛中得到驗證。
<b>3. </b><b>大量廠商的固件存在包括密鑰等敏感資訊</b>
敏感資訊洩露無論在應用層還是系統層,都是一個普遍存在的安全隐患。多數iot固件中資訊存放過于簡單(不經過任何計算或明文),通過對多個廠商的固件進行分析,對擷取到的密碼hash進行破解,發現很多弱密碼如: admin, pass, logout,helpme等。多個廠商在固件中不但包含自簽名的https證書,且由于不正确的版本釋出管理和設計缺陷,一些廠商還包含私鑰。sec consult在本年度調查中發現來自50個廠商的超過900款産品中存在寫死密鑰重用問題,其中受影響的廠商如下:
圖3 存在寫死密鑰重用問題的50家廠商
<b>4. </b><b>固件中保留的調試指令接口</b>
物聯網固件中調試指令多用于工廠測試以及開發調試,例如預留後門、啟動rootshell進行排錯,雖然在移動端應用軟體中不會使用,但攻擊者在了解協定的基礎上,可封裝出對應的調用接口,遠端操作裝置,例如可對裝置恢複出廠配置進行拒絕服務攻擊,或者竊取裝置上儲存的使用者敏感資料。通過研究,發現多數裝置存在如下共性問題:
a) 調試接口服務通路沒有正确限制:多數裝置運作http服務、adb服務、telnet服務,并沒有正确限制通路,即可通過遠端lan或internet通路。
b) 調試接口服務沒有正确進行驗證:使用簡單的password或空密碼,可簡單繞過驗證服務,達到未授權通路的目的。
c) 調試接口服務允許執行任意代碼:該接口提供高權限的任意代碼執行功能,通過漏洞或設計權限,攻擊者通路該接口服務後就可以完全控制裝置。
測試
博聯
智能開關
哈曼汽車多媒體中控
調試接口通路沒有正确限制
調試接口是否可在未授權時通路
調試接口是否允許代碼執行
表2 部分廠商固件中保留調試指令接口的安全隐患對比
<b>5. </b><b>裝置和雲端、移動應用端通訊時的安全問題</b>
通訊鍊路的安全篡改或者監聽,可導緻劫持、敏感資訊洩露及未授權通路。裝置和雲端、移動應用端通訊時的安全基本問題如下:
a) 裝置到服務沒有使用正确驗證:裝置沒有在整個通信會話過程使用驗證憑據或者唯一辨別符,允許攻擊者未授權通路。b) 裝置到服務端沒有對中間人攻擊進行保護:通過mitm攻擊,攻擊者可以在裝置和服務端之間擷取和修改通信。
c) 信道無加密:裝置和雲端以及移動應用端通信傳輸時,控制指令和采集的資料沒有加密,攻擊者通過監聽擷取敏感資料。d) 存在重播攻擊:裝置沒有重放保護,允許攻擊者重用之前截獲的消息,實作未授權通路以及執行惡意操作。
允許未授權通路
存在mitm劫持
信道沒有加密
存在重播攻擊
表3 部分廠商裝置和雲端、移動端通訊時的安全隐患對比
通過對部分物聯網廠商背景接口的掃描檢測,傳統web安全中的問題同樣存在于物聯網雲端web接口,跨站腳本、檔案修改、指令執行及sql注入繼續是web接口的重要安全漏洞:
圖4 iot雲端web接口中的安全漏洞
智能裝置更加依賴于時間資訊和位置資訊,來實作裝置的功能特性。常見的時間與位置的獲得方法,主要是依賴于以下幾種方式:
1. gnss 系統。如 gps、北鬥、glonass 等。gnss 系統在定位的同時,也對終端完成了授時過程。
2. wifi 輔助定位。由于 gnss 系統的信号極弱,在室内信号強度便不足以提供定位所需。是以,大部分的位置資訊提供商都提供了基于 wifi 特征的輔助定位功能,基于wifi 的 ssid 和 bssid 進行定位。
3. 通信基站的辨別資訊。通信基站中的特征辨別如 lac 和 cellid 資訊可以被用于終端進行快速定位。
圖5 僞造的gps信号被android裝置接收,僞造的gps信号幹擾apple watch的時間
這幾種位置時空資訊擷取方式的實作上,目前仍處于關注其功能完整性及有效性的階段,對于安全方面的考慮較少。
近期業界釋出了不少關于位置時空安全的研究。例如在blackhat europe 2015安全大會中,來自赫爾辛基大學的安全研究者示範了在 lte 環境下,從基站的廣播資訊中嗅探到使用者的地理位置。該團隊在大會中也展示了兩種位置時間的欺騙攻擊方式: 利用軟體無線電裝置實施 gps 位置時間欺騙,和基于普通計算機無線網卡 wifi 輔助定位系統的位置欺騙,iphone和apple watch均受影響。特别地,我們發現基于wifi的位置欺騙比gps欺騙更容易被攻擊者利用,攻擊者甚至都不需要使用任何特殊的硬體裝置,隻需要一部普通的筆記本電腦,即可對市面上常見的地圖類應用進行攻擊。這将會給地圖位置資訊提供商帶來較大的安全挑戰,例如應對位置資料采集過程中的防投毒技術。同時,随着室内定位技術的逐漸成熟,室内定位基站大規模部署之後,如何應對一脈相承的位置安全問題,也将是接下來物聯網安全技術的一個挑戰。
通信系統及其基礎設施是物聯網的基石與骨幹,但在萬物互聯的時代裡,通信系統及其業務的安全性長期沒有得到重視,間接危害物聯網裝置的安全。2015年披露了多起涉及到通信系統的安全漏洞,相信之後對通信系統和基礎設施的攻擊會持續增加。
<b>1. </b><b>營運商業務短信系統安全</b>
2015年12月出現的一種利用營運商短信業務平台實作遠端換卡的詐騙手法。據報道,“詐騙短信的特色是發送以 hk 開頭的一串指令,後面的數字代表的是新的 sim 卡卡号,當使用者根據短信提醒,回複退訂指令至 10086 後,手機卡就可能落入犯罪分子手裡,緻使銀行卡、或支付賬戶資金被盜。”目前在營運商的業務受理系統中,除可通過短信辦理業務外,還有電話撥号信令辦理,這些業務受理系統大部分是從有線電話時代繼承下來的,有很多遺留問題。
<b>2. </b><b>通信基站裝置安全</b>
2015年第一季度,國内營運商某型家庭基站被發現了多枚重大漏洞,可導緻使用者的短信、通話、資料流量被竊聽。惡意攻擊者可以在免費申領一台裝置之後,迅速地将其改造成僞基站短信群發器和流量嗅探器,影響公衆的通信安全。傳統通信廠商以實體隔離為主的安全政策,在通信網核心裝置ip化的趨勢下,面臨着較大的挑戰。
<b>3. </b><b>volte</b><b>業務漏洞成為另一個攻擊平台</b>
營運商正在大力推進部署的高清語音volte業務,給使用者帶來了更好的通話體驗,更短的接通時間,同時逐漸替換掉原有的短信業務。但是volte業務背後所依賴的sip協定,給安全研究者們提供了又一個新的攻擊面。南韓kaist研究團隊在2015年10月釋出了他們對于當地volte業務的分析報告,找到了當地營運商的volte業務漏洞。
<b>4. </b><b>4g lte</b><b>安全性還待考驗</b>
雖然4g業務相對于2g在安全方面有了較大的提升,僞基站在4g業務中基本得到了杜絕,但是lte的信令中,仍然存在着一些沒有被考慮到的安全風險。例如在今年11月位于荷蘭舉辦的blackhat大會中,來自赫爾辛基大學的研究團隊,示範了如何使用lte的信令洩漏出來的資訊,對小區範圍内的使用者進行跟蹤。
<b>5. </b><b>usim</b><b>卡安全密鑰可提取</b>
目前已經有團隊可以實作對于4g usim卡的密鑰進行提取。4g usim卡在目前的網際網路生活中,處于較為重要的安全中心的位置上,一旦usim卡的安全被攻破,将會給支付、通信、賬号體系帶來巨大的沖擊。
人類對世界的了解,會随着智能裝置和傳感器的互聯不斷延伸和增長,而相應的其業務和資料也會不斷增加。根據調查,90%的資料從未被分析或采取任何安全措施。毫無疑問,利益最大化的黑客會把目标瞄準新的戰場,即物聯網裝置上的業務安全。
物聯網各種業務上産生的資料如個人識别資訊,醫療記錄,使用者賬戶資料,o2o業務交易資訊等将對生活、工作、娛樂、甚至個體産生極大的關聯和影響。但裝置在接入、傳輸、存儲等各環節缺少正常的安全防控,甚至缺乏基本的安全考慮。
網絡安全領域很多典型防控措施如分隔、域、安全服務最小化等已經不能完全适應物聯網帶來的安全新挑戰,對有價值的業務的精确管控和持續防護,才是確定企業和使用者安全的關鍵因素。
物聯網的發展将聚焦在advanced sensor fusion與physical-world web層面,這二個層面簡單來說,就是wot。根據維基百科上的定義,wot是物聯網的application layer,并且是使用web 技術來打造application。簡單來說物聯網+ web-enabled technologies就是wot。對wot來說就是以url來表示iot裝置:
圖6 移動裝置上使用web前端通過雲中轉來通路裝置
而基于web的傳統安全攻擊手段,如sql injection, xss, command exec等都會在wot上繼續存在,并由于防護機制的薄弱,更容易受到攻擊,顯而易見wot的安全防護需要成為物聯網安全中的重要一環。
加密是保證通訊不被篡改的關鍵,将加密算法固化在一個專用的晶片或使用晶片内部的專用控制器,這種方式可有效避免因為通過軟體計算而導緻的key洩露。加上硬體成本越來越低,以及晶片廠商在設計晶片時本身的安全性考慮,這樣的趨勢後續會明顯起來。而裝置廠商是否可以讓這些新技術無縫融合到産品中,也是産品是否安全的關鍵。
專用的、安全的認證協定會逐漸取代目前僅從功能實作考慮的簡單協定,相信安全性會得到整體提升。
作者:曉丘,迅迪 @ 阿裡巴巴移動安全
資料來源:阿裡聚安全監控資料
本文來自合作夥伴“阿裡聚安全”,發表于 2016年02月23日 16:56