随着物联网技术和相关设备逐步进入大众的视线当中,其存在的安全隐患也成为了外界热议的话题。最近,应用安全公司Veracode的研究者就对6款智能 家居 设备进行了安全测试,结果发现其中5款都存在严重安全问题。
Veracode所测试的这6款设备包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多种家庭自动化设备和传感器的帮助下——包括门锁、开关和电源插座——所有这些设备都可通过互联网实现远程控制和监控功能,它们中的大多数还可连接至基于云端的服务,用户则可通过网页端口或智能手机应用与之进行交互。
Veracode并没有试图寻找这些设备固件当中的漏洞,而是对它们的工作方式及使用的通讯协议进行了分析。安全专家们查看了这些设备的前端(用户和云服务之间)和后端(设备和云服务之间)连接,在前端连接方面,他们发现只有SmartThings Hub执行了强密码,而Ubi甚至没有对用户连接进行任何加密,这无疑给中间人攻击创造了可能。
而在后端连接这一块,这些设备的表现更加糟糕。Ubi和MyQ Garage没有执行加密,没有提供对抗中间人攻击的必要保护,对于重放攻击也毫无防御力。此外,Ubi也没有对敏感数据进行适当的保护。
除了SmartThings Hub之外,这些设备都不具备中间人攻击保护,因为它们要么完全没有使用安全传输层协议(TLS)加密,或是没有使用适当的证书验证执行TLS加密。
这种情况表明,厂商在产品设计阶段都是假定它们未来所运行的网络环境都是安全的,但事实显然并非如此。从过去几年里的安全研究中我们可以看出,如果说有什么东西的安全性比物联网设备还要差,那就是消费类路由器了。安全专家经常会在路由器当中发现严重的安全漏洞,它们中的大多数可让黑客执行中间人攻击,也导致了数以百万计的路由器被用于大规模的攻击。
物联网厂商对于家庭网络安全的错误信任也反映在了旗下产品暴露于这些网络中的调试接口和其他服务。
Veracode的研究者发现,Wink Hub会在80端口运行未认证的HTTP服务,Wink Relay会运行可通过网络访问的ADB服务,Ubi运行ADB和VNC(远程桌面)服务时都不需要密码,SmartThings Hub所运行的Telnet服务器受到了密码保护,MyQ Garage所运行的HTTPS服务会暴露基本连接信息。
在Wink Relay和Ubi这两款设备身上,暴露的ADB接口可向攻击者提供root权限,让他们得以在设备上执行任意代码和命令。
在云端服务方面,Veracode的研究者虽然没有直接对这些服务的安全性进行分析,但他们还是考虑到了几种可能出现的情况,比如如果攻击者获取到了用户账户、截获了与之接近的连接、或是彻底冲破云服务会发生什么。他们得出的结论是,这些情况会导致严重程度不同的安全问题,轻则暴露敏感信息,重则致使设备彻底被控制。
厂商并没有清楚地向用户解释这些设备对于云服务的依赖,但他们的确应该如此——因为并不是每一位用户都意识到,他们并不是直接和设备进行交互的。当使用配套的移动应用时,控制信号实际上需要通过由第三方运营的服务才会被传递到设备当中。这同时也意味着,需要获得安全措施保护的不仅仅是硬件设备本身,还包括网络服务。
Veracode根据这些分析结果得出的结论是,这些测试设备的设计师“没有足够重视安全和隐私,从而把消费者置于网络攻击或物理入侵的风险当中”。
举个例子,Ubi设备所收集的信息可让不法之徒了解到你家里是否有人(根据环境噪音或灯光)。此外,通过利用Ubi或Wink Relay所含的漏洞,攻击者可以使用设备的麦克风进行窃听。
但所幸的是,不同于路由器这种设备,许多物联网设备都具备自动升级的能力。因此当发现问题时,厂商可以轻松地推送修复升级。