安全預警:物聯網應用程式漏洞致使物聯網裝置易於被攻擊
消費者在購買物聯網裝置時,除了考慮便利性和價格外,還需要考慮安全性
物聯網裝置被攻擊將成為節假日中最“驚喜”的禮物。IoT即Internet of Things(物聯網)的縮寫,這不僅僅只是一個流行詞。隨著網路連線功能被新增到產品和裝置中,物聯網時代將使產品生產製造和使用方式發生巨大轉變。有一天,您的冰箱會給您傳送簡訊,通知您牛奶已經喝完:這是物聯網。您的恆溫器會在您的手機上顯示使用圖表:是的,這也是物聯網。基本上,任何能夠連線到網路的而不僅僅是電腦、手機、平板電腦或路由器等裝置都被視為物聯網裝置。
然而,物聯網裝置的安全性已經成為一個大問題。儘管已在不斷改進,但仍然存在新的漏洞。例如,梭子魚網路實驗室團隊最近通過對物聯網監控攝像機研究發現一個新威脅: 物聯網憑據洩露 ,即利用網路和移動應用程式漏洞來攻擊物聯網裝置。
威脅概述:
物聯網憑據洩露——攻擊者可以利用某些物聯網裝置使用的網路應用程式和移動應用程式的漏洞獲取憑證,然後用於檢視視訊來源,設定/接收/刪除警報,從雲端儲存中刪除儲存的視訊剪輯和讀取帳戶資訊。攻擊者還可以使用憑據將自己的韌體更新至裝置,更改其功能,並使用這個裝置攻擊相同網路上的其它裝置。
詳細情況:
梭子魚網路實驗室團隊為說明該威脅,近期對連線的監控攝像機開展研究,並在攝像機網路應用程式和移動應用程式生態系統中發現多個漏洞:
移動應用程式忽視了伺服器證書的有效性網路應用程式中的跨站點的指令碼(XSS)雲伺服器中的檔案遍歷使用者控制裝置更新連結裝置更新未簽名裝置忽視了伺服器證書的有效性
通過利用這些漏洞,無需直接連線裝置本身即可進行以下攻擊以獲取憑證並破壞物聯網裝置。
通過移動應用程式獲取憑證
如果攻擊者通過使用惡意網路攔截移動應用程式中的流量,他們可以輕鬆獲取使用者密碼。獲取方式如下:
受害者用手機連線到一個惡意網路。連線的攝像機應用程式會試圖通過https連線到供應商的伺服器。惡意網路會將路由器連線到攻擊者的伺服器,使用其自身的SSL證書,並將通訊代理連線到供應商的伺服器。攻擊者的伺服器現在持有使用者密碼的未加安全保護的MD5。攻擊者還可以篡改供應商伺服器和應用程式之間的通訊。 通過網路應用程式獲取憑證
這類攻擊利用了使用者與其他使用者共享裝置訪問連線攝像機許可權的這一功能。接收者為共享裝置,需要在物聯網供應商建立一個有效的帳戶,而傳送者需要知道接收者的使用者名稱,即電子郵件地址。
攻擊者在裝置名中嵌入XSS漏洞,然後和受害者共享該裝置。一旦受害者使用網路應用程式登入他的帳戶,XSS漏洞會開始啟動並與攻擊者共享訪問令牌(在網路應用程式中儲存為變數)。攻擊者有了訪問令牌,就可以進入受害者的帳戶及其所有的註冊裝置。
梭子魚網路實驗室團隊通過這項研究瞭解到攻擊者無需直接連線裝置本身就能成功破壞了一個物聯網裝置(連線攝像機)。一些攻擊者操作起來則更加輕鬆,都無需在Shodan 上尋找帶有漏洞的裝置,只需攻擊供應商的基礎設施就可達到目的。該威脅利用的是裝置與雲端的通訊方式,所以它也還可以影響其它型別的物聯網裝置(無論什麼功能的裝置)。
畢竟,漏洞並非出自產品本身,而來自開發人員的流程、技能和意識。隨著物聯網裝置的訪問和訪問控制轉移到雲端,漏洞也隨之轉移。
物聯網製造商可借鑑之處
設計物聯網解決方案的供應商需要對裝置執行所採用的應用程式的所有方面都要提供保護。物聯網裝置是分佈於家庭、學校和辦公室的感測器,它們也將成為攻擊者的潛在切入口。每位客戶的網路均向伺服器核心和其他客戶開放。
Web應用防火牆是物聯網供應商最需要提供關鍵保護的位置之一,避免伺服器受到第7層HTTP通訊的影響。製造商還需要對網路層攻擊和網路釣魚加強保護。
雲安全為物聯網應用程式和執行的基礎設施提供可見性、保護和修復,所以也很重要。橫向運動暴露的可能性很大且相當複雜,因此關鍵在於要採取適當的安全預防措施。
作為消費者,您如何保護自己
消費者在購買物聯網裝置時,除了考慮便利性和價格外,還需要考慮安全性。以下是一些需要考慮的小貼士:
研究裝置製造商的安全意識——一些生產物聯網裝置的公司瞭解軟體安全。而其中大部分或者是現有公司,其專業知識在於製造正在連線的物理產品;或者是希望儘快把裝置推向市場的創業公司。這兩種情況都會忽視適當的軟體和網路安全措施。 在供應商的其它裝置中尋找現有漏洞 ——如果一個裝置存在漏洞,那麼同家公司具有類似功能的其它裝置也會存在漏洞。歸根結底,之前始終確保裝置安全的供應商未來也會繼續生產安全裝置。 評估對過去漏洞的響應 ——如果供應商對人們反應的漏洞作出響應,並通過韌體更新快速解決問題,說明了他們對製作的安全性和未來產品的態度。
目前,關於物聯網裝置的安全性資訊還是非常少。理想情況下,我們希望物聯網產品可以和汽車一樣,都對安全等級進行評分。消費者在對物聯網裝置進行投資前,應瞭解具體資訊和情況。