事件分析
尽管去年内,《绿盟科技 2019 物联网安全年报
》[6]建议厂商和用户避免在互联网中暴露 UPnP 服务, 但根据绿盟威胁情报中心显示,2020 年全球仍有近数百万台开启了 UPnP 服务的设备暴露在互联网中。 研究人员认为,一旦相关漏洞被披露,僵尸网络可能很快就会加以利用并发起反射攻击,这种新型反射 攻击,将给防护带来一定的困难。诚然 UPnP 服务对方便设备间互联互通有极大帮助,但其过于庞大的协议簇,从设计到实现均可能 存在各种缺陷,防止 UPnP 服务被黑客利用仍需 OCF、设备厂商、运营商
和用户多方共同努力。### BadPower :让快速充电器
变成手机电脑杀手#### 事件回顾
2020 年 7月 15 日,腾讯安全玄武实验室发布了一项命名为“BadPower”的重大安全问题研究报告 [9]。 报告指出,市面上现行大量快充终端设备存在安全问题,攻击者可通过改写快充设备的固件控制充电行 为,造成被充电设备元器件烧毁,造成严重的后果。据保守估计,受“BadPower”影响的终端设备数 量可能数以亿计。
具体的,腾讯玄武安全实验室对市面上 35 款支持快充技术的充电器、充电宝等产品进行了测试, 发现其中 18 款存在安全问题。攻击者可利用特制设备、手机、笔记本等数字终端来入侵快充设备的固件, 控制充电行为,使其向受电设备供过高的功率,从而导致受电设备的元器件击穿、烧毁,还可能进一 步给受电设备所在物理环境造成安全风险。攻击方式包括物理接触和非物理接触,有相当一部分攻击可 以通过远程方式完成。在玄武实验室发现的 18 款存在 BadPower 问题的设备里,有 11 款设备可以通 过数码终端进行无物理接触的攻击。腾讯安全玄武实验室已于 3 月 27 日将“BadPower”问题上报给 国家主管机构 CNVD,同时也在积极和相关厂商一起推动行业采取积极措施消除 BadPower 问题。小米 和 Anker 也对这次研究工作做出了贡献,另在未来上市的快充产品中也会加入安全检测环节。
原理简述
正常情况下,对不支持快充的受电设备,快充设备会默认对其供 5V的供电电压。但通过改写快 充设备内控制供电行为的代码,就可以让快充设备对这些仅能接受 5V电压的受电设备输入最高 20V 电 压 ,从而导致功率过载。即使对支持快充的受电设备,被控制后的恶意充电设备也可以在电力协商中告
诉受电设备自己将会供 5V电压,但实际却供 20V 电压。所有存在 BadPower 问题的产品都可通过特制硬件进行攻击,其中有相当一部分也可通过支持快充协议的手机、平板电脑、笔记本电脑等普通终 端进行攻击。
通过特制硬件发起的 BadPower 攻击过程如下:
- 攻击者用伪装成手机的特制设备连接充电器的充电口,入侵充电器内部固件。
- 当用户使用被入侵的充电器给其它设备充电时,充电器对受电设备进行功率过载攻击。
通过普通终端进行的 BadPower 攻击过程如下: - 攻击者通过某种方式入侵用户的手机、笔记本电脑等终端设备,在其中植入具有 BadPower 攻 击能力的恶意程序,使该终端设备成为 BadPower 的攻击代理。
- 当用户将终端设备连接充电器时,终端设备里的恶意程序入侵充电器内部固件。
- 当用户再次使用被入侵的充电器给设备充电时,充电器会对被受电设备进行功率过载攻击。
事件分析
BadPower 不是传统网络安全问题,虽然不会导致数据隐私泄露,但会给用户造成实实在在的财产 损失,甚至更糟糕的情况。BadPower 再次醒我们,随着信息技术的发展,数字世界和物理世界之间 的界限正变得越来越模糊。之前我们知道工业控制系统、车联网系统的漏洞和威胁可能会影响物理世界, 但这些似乎距离大多数人比较遥远,但是其实像充电器这种人人都有、不起眼的小东西也可能打破数字 世界和物理世界之间的结界。
特斯拉废弃零件泄露隐私,谁为用户隐私买单?
事件回顾
在使用特斯拉车载信息娱乐服务前,用户必须输入详细的个人信息,存储这些信息的媒体控制单元 或许正在成为用户隐私数据泄露的源头。2020 年 6 月,国外黑客发现,从废弃的特斯拉媒体控制单元 (MCU)中,能够获取到之前设备所有者的隐私信息。
原理简述
据外媒报道,特斯拉服务中心清除废旧零部件之中的数据时,技术人员被告知要在零部件报废之前进行物理损毁。特斯拉官方程序的要求是,在将拆下的媒体控制单元扔进垃圾桶之前,工作人员需要确 认接口是否被彻底毁坏。但是,用锤子敲击后的零部件外壳被损坏,内部的数据却未被破坏,依然能够 在线上出售。
国外黑客格林从购物网站 eBay 上购买了一个废弃的媒体控制单元,这些零件在网上售卖的价格从 150 美元、200 美元到 300 美元、500 多美元不等。尽管这些废弃的零件已经被特斯拉技术人员手工销 毁,但它仍然留有大量用户隐私数据,包括手机通讯录、通话记录、日历项目、WiFi密码、家庭住址、 导航去过的地点等。
事件分析
随着汽车智能化、网联化技术快速深入发展,汽车内车机、控制器甚至是车外未来的基础设施以及 云端内个人隐私的数据会日益庞大,数据种类也会越来越多。这些数据带给我们安全驾驶以及出行便利 的同时,隐私泄露的风险也在加大。除了软硬件、云端方面的技术防护手段之外,隐私防护也需要标准、 法律、法规相配合,需要多方协同努力、长期研究。
智能门锁暗藏的物联网安全危机
事件回顾
在物联网时代,智能门锁的普及率已经越来越高了,但智能门锁真的的安全吗? U-Tec UltraLoq 是 众筹平台 Indiegogo 上的一款热门产品,现已在亚马逊等电商平台零售。这款锁拥有一些高级功能, 包括指纹读取器、反窥视触摸屏,以及通过蓝牙和 WiFi的 APP 端控制等。2020 年 8 月,Tripwire 的 研究人员 Craig Young 发表了一篇博客,披露了其存在错误配置和其他安全问题,使得攻击者仅用一个 MAC地址就可以窃取解锁令牌 [10][11]。
原理简述
Young 首先在物联网搜索引擎 Shodan 中搜索与 U-Tec 和供应商使用 MQTT相关的词条,MQTT是 物联网设备中用于在节点之间发布 -订阅、交换数据的协议。例如,智能恒温器的传感器可以传输与特 定房间中的供热有关的数据,而智能锁可以使用 MQTT记录用户及其访问活动,研究员发现 UltraLoq 智能锁使用邮箱和 mac 地址连接 MQTT Brokers 如图 1.1 。
[图片上传失败...(image-580e41-1666576762609)]
图 1.1 使用邮箱和 mac 地址连接 MQTT Brokers
研究人员连接到智能锁 MQTT服务端,在了一个包含 UltraLoq Amazon-hosted 代理的主题名称 发现了客户 ID,于是他购买了一个相关型号的 UltraLoq 智能锁,并监听其通过 MQTT发送的消息。 Young 发现了一个“在解锁过程中重复的消息流”,并且利用脚本重放该数据包,结果发现只需要知道
该设备的 MAC地址能打开智能锁,事实上,设备的 MAC地址在相关 MQTT主题中就可以轻松获取到。
2019 年 11 月 10 日,Craig Young 向 U-Tec 告知他们的云服务给用户带来巨大安全风险,U-Tec 随 后做了相关的补救措施,包括:已关闭端口 1883,开启端口 8883 是经过身份验证的端口、已关闭未 经身份验证的用户访问等,但是这些措施实际上并没有完全解决问题。Young 再次发文表示,此次事件 的主要问题是 U-Tec 专注于用户身份验证,但未能实现用户级访问控制,并且演示了匿名账户都可以与 任何其他用户的设备连接并交互,如图 1.2 。
图 1.2 使用 HTTP Canary 嗅探账号和密码
几天后,U-Tec 宣布已经实现用户隔离,而 Craig Young 也发现攻击者确实不能在 MQTT的主题之 间发布消息了,但其实并没有完全解决该款智能门锁的安全问题。在 2019 年 6 月 Pen Test Partners 报道称,在 UltraLoq 智能门锁中曾发现大量严重安全问题,涉案及 API、BLE 密钥、存储等多个层面的漏 洞 [12]。
事件分析
除了到的智能门锁,其实每天都有大量没有进行安全测试的物联网设备上市或上线,消费者必须 意识到这个逐渐累积的风险。即使是门锁这样的关键安全系统,满足的网络安全规范和要求也很少,相 关安全监管更少。正如我们在 Mirai 和其他物联网僵尸网络中所看到的那样,互联网上的各类智能设备, 例如智能灯泡、智能冰箱、智能音箱、摄像头等,在发生故障或被大规模劫持时也会造成严重破坏,并 且目前的威胁或许只是冰山一角。
蓝牙冒充攻击(BIAS),无线安全不可忽视
事件回顾
研究人员 Daniele Antonioli 于 2020 年 5 月披露了一个蓝牙协议栈漏洞,攻击者可以利用这个漏洞 伪造并欺骗远程配对的蓝牙设备,其危害性影响数十亿蓝牙设备。
蓝牙协议被广泛应用于数十亿台设备中,其中包含了多种身份验证过程。两个蓝牙设备如果要建立 加密连接,则必须使用密钥互相配对。
在两个蓝牙设备成功配对之后,下一次
它们就能够不经过配对过程而重新连接。
BIAS攻击就是利用了这个特性。
