機(jī)械鎖也許是我們?nèi)粘I钪凶罡?���、最具象�����、最熟悉的安全屏障。人們鎖上門(mén)�����,期望這些鎖能把壞人關(guān)在門(mén)外�����,但安全行業(yè)有一句老話(huà):“防君子不防小人”。在物聯(lián)網(wǎng)“智能鎖”時(shí)代�,事情變得更加糟糕�,因?yàn)殚_(kāi)鎖工具不再是鉤針,而是腳本和嗅探器�����。
近日����,滲透測(cè)試專(zhuān)家Craig Young披露了某品牌智能門(mén)鎖漏洞背后隱藏著的安全威脅:攻擊者可以物理定位并遠(yuǎn)程控制連接到智能門(mén)鎖供應(yīng)商云基礎(chǔ)結(jié)構(gòu)的任何鎖。現(xiàn)編輯整理如下:
雖然本文中介紹的漏洞已經(jīng)被修復(fù)��,但是本次滲透測(cè)試暴露了整個(gè)智能門(mén)鎖行業(yè)�����,乃至物聯(lián)網(wǎng)領(lǐng)域普遍存在的隱私和安全風(fēng)險(xiǎn)��。本文的目的是讓人們了解并重視物聯(lián)網(wǎng)設(shè)備以及驅(qū)動(dòng)物聯(lián)網(wǎng)的集中式云計(jì)算的安全問(wèn)題和威脅���。
Craig Young選擇了市場(chǎng)上一款熱門(mén)的智能門(mén)鎖——U-Tec生產(chǎn)的UltraLoq智能門(mén)鎖�,該鎖連接到供應(yīng)商的云基礎(chǔ)架構(gòu)。已經(jīng)發(fā)現(xiàn)的安全漏洞�����,例如服務(wù)配置錯(cuò)誤已經(jīng)于2019年11月初通知了U-Tec����,本次研究的焦點(diǎn)是集中化的云基礎(chǔ)設(shè)施提供數(shù)據(jù)和控制所帶來(lái)的風(fēng)險(xiǎn),很多物聯(lián)網(wǎng)應(yīng)用場(chǎng)景�,例如智慧城市和無(wú)人駕駛汽車(chē)等都可能存在類(lèi)似的風(fēng)險(xiǎn)。
U-Tec UltraLoq一開(kāi)始是眾籌平臺(tái)Indiegogo上的一款熱門(mén)產(chǎn)品���,現(xiàn)已通過(guò)亞馬遜�、家得寶和沃爾瑪?shù)戎饕闶凵讨苯愉N(xiāo)售給消費(fèi)者���。這些鎖擁有一些高級(jí)功能�,包括指紋讀取器����、反窺視觸摸屏,以及通過(guò)藍(lán)牙和WiFi的APP端控制�����。這些聯(lián)網(wǎng)功能帶來(lái)極大便利的同時(shí),也讓一些用戶(hù)對(duì)安全性感到不安����。為了打消用戶(hù)的疑慮,U-Tec的網(wǎng)站有一篇文章向用戶(hù)保證:“云服務(wù)器具有很強(qiáng)的安全性�,用戶(hù)的數(shù)據(jù)已被MD5算法加密”。
對(duì)U–Tec智能門(mén)鎖的滲透測(cè)試從Shodan開(kāi)始�,具體來(lái)說(shuō)是Shodan的MQTT數(shù)據(jù)集�����。
首先����,我們簡(jiǎn)要介紹一下MQTT的背景信息。
MQTT是一種輕量級(jí)的發(fā)布-訂閱協(xié)議����,其中的消息代理負(fù)責(zé)協(xié)調(diào)連接節(jié)點(diǎn)之間的局部數(shù)據(jù)交換。MQTT的應(yīng)用場(chǎng)景很多�����,例如空調(diào)系統(tǒng)。請(qǐng)?jiān)O(shè)想一個(gè)包含多個(gè)溫度傳感器(恒溫器)�,可以通過(guò)數(shù)字方式控制風(fēng)扇的HVAC系統(tǒng),以及根據(jù)室溫自動(dòng)打開(kāi)/關(guān)閉風(fēng)扇的監(jiān)控應(yīng)用程序�。這些傳感器和執(zhí)行器是連接到MQTT代理的低功耗IoT組件,傳感器發(fā)布數(shù)據(jù)��,監(jiān)控應(yīng)用訂閱此數(shù)據(jù)����,并發(fā)送命令給執(zhí)行器。
傳感器的數(shù)據(jù)使用描述性和分層主題名稱(chēng)發(fā)布�,例如101室的恒溫器將使用"x號(hào)樓/溫度/樓層1/房間101"的格式發(fā)布數(shù)據(jù)。監(jiān)控應(yīng)用將訂閱 “建筑 X/溫度/#”��。#充當(dāng)通配符�����,允許應(yīng)用接收來(lái)自所有房間的溫度輸入���。
在沒(méi)有適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)方案的情況下部署MQTT時(shí)�����,會(huì)出現(xiàn)MQTT被濫用的風(fēng)險(xiǎn)���,任何連接到代理的人都可以獲取敏感數(shù)據(jù)����,甚至能夠控制動(dòng)力學(xué)系統(tǒng)�����。獲得MQTT代理訪(fǎng)問(wèn)權(quán)限的未授權(quán)用戶(hù)可以輕松地猜測(cè)主題名稱(chēng)并使用#訂閱各種主題以獲取傳輸代理的數(shù)據(jù)�����。
通過(guò)公共MQTT數(shù)據(jù)泄露的個(gè)人信息
Shodan的老玩家們一直在使用這些通配符查詢(xún)收集暴露在公共互聯(lián)網(wǎng)上的MQTT代理的數(shù)據(jù)���。盡管Shodan不存儲(chǔ)掃描的個(gè)人消息,但卻能檢索83����,000多個(gè)代理中的主題名稱(chēng)。Craig Young測(cè)試了各種MQTT搜索詞�����,看看多少能夠命中��。有一個(gè)服務(wù)器引起了Craig Young的注意,因?yàn)樗邪琈QTT主題名稱(chēng)的大量頁(yè)面���,反復(fù)出現(xiàn)在搜索中�,關(guān)聯(lián)信息包括“門(mén)鎖”和免費(fèi)電子郵件提供商�����,如“gmail.com”��。
圖1:亞馬遜托管的代理與主題名稱(chēng)列表
這是一個(gè)亞馬遜托管的代理與主題名稱(chēng)列表�,包括個(gè)人電子郵件地址和其他數(shù)據(jù),看上去似乎與智能門(mén)鎖有關(guān)�。Craig Young使用Linux命令行工具(例如mosquitto_sub)查詢(xún)?cè)摲?wù)器,結(jié)果立刻被來(lái)自世界各地的大量個(gè)人信息淹沒(méi)了���。這些數(shù)據(jù)包括與智能門(mén)鎖關(guān)聯(lián)的用戶(hù)電子郵件和IP地址�����,以及智能門(mén)鎖鎖打開(kāi)和關(guān)閉的時(shí)間戳記錄等����。
下一步是通過(guò)購(gòu)買(mǎi)一個(gè)ULTRALOQ智能門(mén)鎖進(jìn)行測(cè)試����,明確問(wèn)題的范圍�����。
與大多數(shù)智能門(mén)鎖類(lèi)似���,ULTRALOQ智能門(mén)鎖也是電池供電,與連接到WiFi的網(wǎng)橋設(shè)備保持藍(lán)牙配對(duì)�����。拿到該鎖后����,我將它與WiFi橋配對(duì),并監(jiān)聽(tīng)其通過(guò)MQTT發(fā)送的消息�。
圖2:確認(rèn)服務(wù)器提供實(shí)時(shí)客戶(hù)數(shù)據(jù)(已脫敏)
經(jīng)過(guò)幾個(gè)鎖定/解鎖周期后��,我確認(rèn)了解鎖過(guò)程中重復(fù)的消息流���。然后�,我準(zhǔn)備了一個(gè)Python腳本來(lái)重放這些消息�����,并確認(rèn)這種方法能夠打鎖。
Craig Young發(fā)現(xiàn):攻擊者只需知道設(shè)備MAC地址就可以很容易地竊取“解鎖令牌”�,批量或定點(diǎn)解鎖智能門(mén)鎖。
MQTT數(shù)據(jù)關(guān)聯(lián)的電子郵件地址�、本地MAC地址和公共IP地址等數(shù)據(jù)可用于地理位置定位,足以精確識(shí)別個(gè)人����。該設(shè)備還向無(wú)線(xiàn)電范圍內(nèi)的任何人廣播MAC地址。
這意味著:匿名攻擊者還可以收集任何活躍U-Tec客戶(hù)的詳細(xì)身份信息���,包括其電子郵件地址�����、IP地址和無(wú)線(xiàn)MAC地址�。
● 這足以識(shí)別用戶(hù)個(gè)人身份及其家庭地址���。
● 如果此人曾經(jīng)使用U-Tec應(yīng)用程序遠(yuǎn)程解鎖其門(mén)�,攻擊者還將獲取其令牌�����,可在任意時(shí)間解開(kāi)門(mén)鎖。
同樣��,攻擊者可以實(shí)施破壞性攻擊�,通過(guò)發(fā)送欺騙信息來(lái)阻止智能鎖的主人解鎖。
11月10日���,Craig Young通知U-Tec他們的云服務(wù)給用戶(hù)帶來(lái)巨大安全風(fēng)險(xiǎn)����,U-Tec在10小時(shí)內(nèi)就做出回復(fù)��,指出:
U-Tec智能門(mén)鎖的設(shè)備端需要令牌授權(quán)�,未經(jīng)授權(quán)的用戶(hù)將無(wú)法開(kāi)門(mén)。
顯然���,U-Tec依然沒(méi)有意識(shí)到真正的威脅���,Craig Young于是向U-Tec提供了Shodan的截圖,包括已泄露的����,包含活躍客戶(hù)電子郵件地址的MQTT主題名稱(chēng)列表�����。這一次,U-Tec在一天內(nèi)做出回應(yīng)確認(rèn)該威脅����,并表示已經(jīng)采取補(bǔ)救措施:
1.已關(guān)閉端口1883,端口8883是經(jīng)過(guò)身份驗(yàn)證的端口��。
2.已關(guān)閉未經(jīng)身份驗(yàn)證的用戶(hù)訪(fǎng)問(wèn)�。
3.已經(jīng)在訂閱和傳遞功能中添加了一些規(guī)則,現(xiàn)在未經(jīng)過(guò)身份驗(yàn)證的用戶(hù)無(wú)法訂閱數(shù)據(jù)����。
4.對(duì)于電子郵件問(wèn)題,他們將在下一個(gè)應(yīng)用程序升級(jí)時(shí)修復(fù)��。
遺憾的是��,以上這些措施實(shí)際上并沒(méi)有解決問(wèn)題�。這里的主要問(wèn)題是,U-Tec專(zhuān)注于用戶(hù)身份驗(yàn)證�����,但未能實(shí)現(xiàn)用戶(hù)級(jí)訪(fǎng)問(wèn)控制���。我演示了任何免費(fèi)/匿名帳戶(hù)都可以連接任何智能門(mén)鎖用戶(hù)的設(shè)備并與之交互���。這一切僅需嗅探應(yīng)用程序的MQTT流量��,以獲取設(shè)備特定的用戶(hù)名和作為密碼的MD5摘要���。
圖3:使用 HTTP Canary嗅探帳戶(hù)密碼。
U-Tec的工程師沉默了幾天����,但隨后宣布用戶(hù)隔離已經(jīng)實(shí)現(xiàn)。Craig Young發(fā)現(xiàn)�����,攻擊者確實(shí)不能再在帳戶(hù)之間發(fā)布消息了�����,本次滲透測(cè)試發(fā)現(xiàn)的問(wèn)題似乎已經(jīng)解決��,但這也許僅僅是開(kāi)始����。僅僅數(shù)月前����,Pen Test Partners曾報(bào)道在ULTRALOQ智能門(mén)鎖中曾發(fā)現(xiàn)大量嚴(yán)重安全問(wèn)題��,涉案及API����、BLE密鑰���、存儲(chǔ)等多個(gè)層面的漏洞���。
智能門(mén)鎖只是冰山一角:MQTT和物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)
在與U-Tec 合作以來(lái),Craig Young通過(guò)研究暴露的MQTT系統(tǒng)���,發(fā)現(xiàn)了無(wú)數(shù)的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn)���,包括車(chē)輛跟蹤、出租車(chē)調(diào)度�、彩票亭、建筑管理系統(tǒng)等���。其中許多系統(tǒng)由向客戶(hù)提供服務(wù)的設(shè)備制造商操作����。在一個(gè)案例中,一家歐洲設(shè)備供應(yīng)商����,負(fù)責(zé)監(jiān)控他們銷(xiāo)售給壓縮天然氣 (CNG) 加油站的產(chǎn)品。在另一個(gè)案例中����,一家教育服務(wù)提供商的網(wǎng)絡(luò)泄露了有關(guān)個(gè)別學(xué)生何時(shí)到達(dá)和離開(kāi)小學(xué)的詳細(xì)信息。
每天�����,都有大量未經(jīng)(網(wǎng)絡(luò))安全測(cè)試的接入云端的物聯(lián)網(wǎng)設(shè)備上市�����,消費(fèi)者必須意識(shí)到這個(gè)逐漸累積的風(fēng)險(xiǎn)��。我們要求高速公路上的車(chē)輛遵守安全標(biāo)準(zhǔn)���,并經(jīng)過(guò)排放測(cè)試�����,以確保環(huán)境安全���,但信息高速公路上的互聯(lián)網(wǎng)設(shè)備卻完全是法外之地�。
即使是門(mén)鎖這樣的關(guān)鍵安全系統(tǒng)����,對(duì)產(chǎn)品網(wǎng)絡(luò)安全的規(guī)范和要求也很少����,安全監(jiān)督更少。正如我們?cè)贛irai和其他IoT僵尸網(wǎng)絡(luò)中所看到的那樣�����,互聯(lián)網(wǎng)上的非關(guān)鍵設(shè)備��,例如智能燈泡���、智能冰箱���、智能音箱����、攝像頭等���,在發(fā)生故障或被大規(guī)模劫持時(shí)也會(huì)造成嚴(yán)重破壞����。Mirai和其他僵尸網(wǎng)絡(luò)已經(jīng)“招募”了大量“肉雞”設(shè)備��,然后他們可以使用這些設(shè)備擾亂社會(huì)和敲詐企業(yè)����。這些僵尸網(wǎng)絡(luò)已經(jīng)證明自己能夠產(chǎn)生令人難以置信的DDoS攻擊流量,但與入侵并控制主流廠(chǎng)商的物聯(lián)網(wǎng)云端相比����,目前的威脅也僅僅是冰山一角。
在線(xiàn)咨詢(xún)
在線(xiàn)咨詢(xún)
0371-63319761