背景介紹

購物熱季來臨了，今天我們談一下物聯網設備的安全問題。

各大供應商們陸續推出了許多令人興奮的物聯網設備，并承諾這些設備會讓我們的生活變得更簡單、更快樂、更舒適。作為一個安全人員，除了躍躍欲試各種新品之外，尤其關注這些設備的安全性能，畢竟誰也不想在購買了一臺智能咖啡機的同時，也為黑客預留了一扇后門;誰也不希望在購買了一臺安全監控攝像頭的同時，地球人都可以看到你的家庭現場直播……

[[212065]]

眾所周知，目前物聯網的安全狀態并不理想。那么，在準備購買這些物聯網產品的時候，有那些注意要點可以幫助人們辨識設備的安全性呢?

為了回答這個問題，我們做了一個小實驗：隨機選擇了幾個不同的物聯網設備，并對它們進行了安全審查。我們不敢說進行了深入而全面的調查，那樣說就太夸張了，但我們確實發現了一些相當令人擔憂的安全問題和一些不那么嚴重但不必要的問題。因此在完成了實驗后，將結果整理成這篇文章，是為了讓人們可以了解，如何判斷一個物聯網設備的安全狀態，作為一個不算全面的指南或線索。

實驗中檢測的設備包括：

• 一個智能充電器
• 一個智能玩具車
• 一個智能秤
• 一個智能吸塵器
• 一個智能熨斗
• 一個網絡攝像機
• 一個智能家庭集線器

智能充電器

我們檢查的第一個設備是智能充電器，它內置了Wi-Fi連接模塊這一點讓我們很感興趣。你可能會問：誰會需要一個遙控的電池充電器?然而，它的確是存在的，不僅允許為設備的充電電池，而且允許用戶管理自己充電的方式。

如下圖所示的智能充電器，內置的Wi-Fi模塊允許設備使用者遠程連接并控制充電過程、改變充電設置并隨時檢測電池的電量。

[[212066]]

一旦打開，設備默認地切換到“訪問”模式;用戶連接到設備并打開管理界面的Web頁面。充電器和用來訪問管理面板的設備之間的通信使用了過時的WEP算法，而非更安全的WPA2。盡管受密碼保護的，但預定義的密碼是“11111”，它在設備附帶的官方文檔中，也可以在網上搜索到相關資料。當然了，用戶可以選擇將此默認密碼更改為更安全的密碼，但由于某種原因，密碼的長度只能設為五位數。根據這些信息，破解密碼需要四分鐘。除此之外，設備本身的Web界面完全沒有密碼保護，一旦介入家庭的Wi-Fi網絡，就可以訪問到它。

也許你還會問：誰會攻擊一個智能充電器呢?可能你是對的，現實中很少有黑帽黑客想要這樣做，尤其是想要完成這種攻擊還要求攻擊者在Wi-Fi信號的范圍內，或者訪問到目標的Wi-Fi路由器(順便說一句，這是一個更大的問題)。除此之外，惡意的攻擊者可能會嘗試擾亂電池充電的能力，或隨機切換參數，而這類攻擊可能存在的風險時電池在充電時爆炸或充電設備失效。

總結：綜上所示，這種物聯網設備不大可能面臨毀滅性的遠程網絡攻擊，不過如果用戶的電池在充電時突然起火，這可能是一個信號，表明在設備周圍(可能是你的鄰居)有一個黑客。此時，你有必要修改一下設備的密碼;如果是遭遇了遠程攻擊，則可能意味著需要更新Wi-Fi路由器的固件或更改密碼。

智能無線間諜車

雖然有些人使用物聯網設備是為了完成某項功能，但也有一些人是為了尋找娛樂和趣味，試問一下，年輕的時候，是不是很多人都夢想著擁有一個屬于自己的間諜工具呢?運營商推出的可以使用APP控制的智能無線間諜車似乎正是某些用戶夢寐以求的智能玩具。

這個智能設備的輪子上安裝了一個網絡攝像頭，可以通過Wi-Fi連接并通過應用程序進行管理。在玩具商店出售的這類智能間諜車，一般會提供iOS和Android平臺的APP，且只能通過Wi-Fi進行連接。我們判斷Wi-Fi連接可能存在弱點，實驗的結果證明我們的猜測是對的。

[[212067]]

圖上這款智能玩具具有以下功能：

• 移動(有多種移動模式，可以控制速度和方向)
• 在移動過程中可以從導航攝像機上查看圖像，以便于導航
• 從主相機查看圖像，可以在不同的方向旋轉(甚至有夜視模式)。
• 記錄的照片和視頻存儲在手機的內存中
• 通過內置的揚聲器遠程播放音頻

一旦連接到手機，它就會自動聯入Wi-Fi，不需要輸入任何密碼，這意味著任何連接到它的人都可以向車輛發送遠程命令(條件是知道要發送哪些命令)。該設備并沒有提供可供設置密碼的功能，如果你的筆記本電腦上有基本的網絡嗅探軟件，通過攔截車輛和控制設備之間的通信流量，就可以想看到車輛目前正在拍攝的信息。

也就是說，遠程攻擊是不太現實的，攻擊者必須和智能玩具處于同一個Wi-Fi信號的范圍內。但另一方面，沒有什么防御措施可以阻止攻擊者以被動模式偵聽您的通信，并在設備使用時捕獲到該設備通信的內容。所以，如果最近看到有人在你家附近拿著一個Wi-Fi天線(很多間諜工具甚至可以放在背包里，不易被察覺)，他們很可能是對你的私生活感到好奇，并且正在想辦法調查。

附帶相機功能的智能機器人吸塵器

對于那些想要在智能機器人吸塵器中攜帶相機功能的人而言，或許他們是想觀察以下吸塵器是如何吸附灰塵的?還是想探索以下床底世界?(開玩笑的^_^)。附帶相機功能的智能機器人吸塵器是專門為清潔愛好者準備的：如果你發現可以手動的控制真空吸塵器，確切的檢查它的工作內容和流程，那么相機功能還是很有需要的，但是請記住，這樣做并不太安全。

[[212068]]

圖上的設備通過特定的APP來管理：允許用戶控制吸塵器的運動，在清洗時拍攝視頻和拍照，清洗完成后視頻會消失，但照片則存儲在應用程序中。

通過Wi-Fi有兩種方法可以連接到該設備：

• 以吸塵器為切入點。如果你家里沒有Wi-Fi網絡，設備本身可以提供一個連接，用戶只需通過移動應用程序連接到吸塵器，然后就可以離開了!
• 吸塵器還可以接入家庭Wi-Fi，接入之后，可以在更遠的距離內操作通過手機該設備。

當用戶通過移動端應用程序對智能吸塵器進行管理時，用戶首先需要經過某種授權。有趣的是，用戶只需要輸入一個很弱的默認密碼就行了。因此，攻擊者只需要連接到吸塵器的接入點(自身或Wi-Fi)，鍵入默認密碼授權，將自己的手機與吸塵器進行匹配，之后就可以控制該設備了。此外，在連接到本地Wi-Fi網絡后，智能吸塵器在本地網絡中是可見，并通過telnet協議顯示給任何與此網絡有連接的人。雖然連接是受密碼保護的，可以由設備的所有者更改(但你真的可以確定是誰做的改動?)，而且對于密碼沒有任何防止暴力破解的措施。

此外，應用程序和設備之間的通信流量被加密過了，但密鑰卻被硬編碼到應用程序中。繼續深入檢測這個設備，發現密鑰相關的代碼缺少加鹽保護，這導致潛在的攻擊者可以從谷歌商城下載該應用程序，找到密鑰并在中間人攻擊活動中使用它。

當然，與其他任何用于控制智能設備的Android應用程序一樣，機器人吸塵器的應用程序也是設備遭遇惡意攻擊的根源之一：攻擊者設法獲得超級用戶權限，進而可以訪問吸塵機的相機、控制并獲取它存儲的內容。在研究過程中，我們也注意到，設備本身運行在一個特別老舊的Linux操作系統上，這可能使它遭遇那些 已公布的但卻未打補丁的漏洞的影響，這一點也尤其值得重視。

智能攝像機

網絡攝像機是物聯網黑客最喜歡的設備。大量的攻擊事件表明，除了明顯的未經授權的監視之外，這種設備還可以用于破壞性的DDoS攻擊。甚至可以這么講：如今幾乎所有生產網絡攝像機的廠商都是黑客的十字軍。

2015年，我們曾試圖評估過消費者物聯網的安全狀況，對嬰兒的監視器進行了安全調研;今年，我們專注于研究了另外一種相當不同的相機：用于外部監視的相機，人們經常使用它監控家庭或辦公環境的安全。

[[212069]]

最初，圖上所示的設備及其來自同一供應商的其他相關設備由于缺乏必要的安全措施，導致存在未授權訪問的問題，經過媒體的大量報道，用戶對這家供應商的產品的信任度急劇下降，但是，大約在2016年左右，針對網絡攝像機的保護問題發生了戲劇性的變化。

此前，該廠商出售的所有網絡攝像機都提供了統一的出廠默認帳戶和默認密碼“12345”。大多數用戶傾向于繼續使用默認密碼。2016年，當該供應商由于安全問題備受行業矚目時，情況發生了根本性的變化：用戶拿到設備時，攝像機處于“未激活”模式，在激活之前是沒有攝像功能的，而激活過程需要創建密碼并做一些網絡設置。此外，廠商還對密碼的復雜度做了基本的要求(如密碼長度，數字、字母和特殊字符的多樣性組合等)，并對用戶設置的密碼強度進行了驗證。用戶可以通過本地網絡上的其他PC終端訪問攝像機并進行設置。

用戶使用默認密碼更新攝像機的固件時，系統會提示用戶修改密碼，并且在設備每次進行連接時都對用戶進行安全相關的告警提示，以確保用戶使用了足夠安全的密碼。

此外，還增加了防止暴力破解密碼的措施：

2016年，供應商在攝像機的固件添加了一個新的安全特性，與防止暴力破解相關：當嘗試輸入錯誤密碼5～7次后，會自動攔截該IP地址的訪問，鎖定30分鐘，之后自動刪除。這一功能在默認情況下是啟用的，不需要用戶特別設置，這樣做顯著提高了設備的安全級別。

然而，并不是所有事情都是完美的。例如，網絡攝像機在與云端進行的交換數據是通過HTTP執行的，攝像機的序列號是URL中的ID，這樣做容易遭遇中間人攻擊。

除了設備的標準Web接口之外，還有一個專門的攝像機配置工具，它可以在網絡上搜索攝像機、顯示攝像機上的數據，并執行基本設置(包括激活設備、密碼更改和網絡設置的密碼重置)。當觸發設備搜索時，PC會發送一個獨立的以太網幀。

攝像機對此的響應是沒有加密的，響應數據包中包含了固件信息、重置日期和網絡設置等模型信息。由于這些數據是以非加密方式傳輸的，且對請求的授權沒有身份認證，因此這一個以太網請求包可以檢測網絡上的所有攝像機，并獲得這些設備的詳細信息。這樣做還存在一個缺陷：在響應時不考慮時間延遲，因此，在網絡中很容易被利用發起DDoS攻擊，只需將這種請求發送給所在以太網中的所有攝像機就行了。

除了上文所描述的特定協議，網絡攝像機還支持標準的SSDP協議發送通知，這同樣允許任何軟件或硬件自動檢測這些攝像機，獲取攝像機的模型信息和序列號等數據。

遠程密碼重置過程中還存在另外一個攻擊向量：任何進入攝像機網絡的人都可以通過攝像機配置的專用工具選擇某一設備，并發起請求啟動重置程序。這樣做的結果是會創建一個包含攝像機序列號的小文件，該文件被發送到技術支持服務，技術支持服務要么拒絕該請求，要么會發送一個特殊的代碼可以用來輸入新的密碼。有趣的是，該服務甚至沒有做任何檢查用戶是否是攝像機的擁有者的嘗試。我們不妨假定室外監視攝像機位于無法觸及的位置，并且幾乎不可能被遠程識別。在這種情況下，最有可能遭遇內部網絡犯罪的攻擊。

總之，值得慶幸的是，網絡攝像機的安全性已經大有改觀，盡管仍在存在一些需要改進和解決的問題。

智能秤

之前曾在網上看過一條新聞(如下圖所示)，說是有個黑客入侵了一個智能秤，威脅設備的主人，要求其支付贖金，否則就在網上工具其體重。感覺像是開玩笑嗎?但事實上我們已經證明這種操作是可行的!

[[212070]]

智能稱可以通過藍牙與智能手機上的APP進行交互，它同時也配備了Wi-Fi模塊，能夠為設備所有者提供許多額外的功能，比如通過一個賬號密碼連接到一個私有的網站可以對體重數據進行監控，還與其他醫療應用進行集成對用戶的身體狀況進行分析。有趣的是，啟用Wi-Fi后，唯一的特性是可以接收天氣預報了。

我們決定測試以下軟件在更新或安裝時，執行ARP欺騙和局域網中的中間人攻擊的可能性。所用設備如下所示：

[[212071]]

檢測發現，手機通過HTTPS與主服務器進行交互，智能秤本身通過藍牙連接到手機上，配對過程很簡單：通過應用程序請求連接，然后打開“藍牙”就能連接上了。由于這個階段用時非常有限，因此很難有人能夠在不受用戶察覺的情況下對設備進行配對。

除此之外，該設備通過藍牙傳輸各種用戶數據，包括重量信息。設備通過應用程序接收更新。應用程序還會將設備當前版本的更新和許多其他參數發送到服務器，服務器將下載文件及其校驗和的鏈接依次傳遞給應用程序。

但是，更新過程是通過HTTP完成的，數據沒有加密，更新本身也沒有加密。因此，如果您能夠監聽到設備連接的網絡，則可以欺騙服務器響應對設備進行更新。

這樣做可以使設備回滾到最初的版本，然后安裝與服務器檢索到的版本不匹配的修改版本。在這種情況下，還存在更危險的可能，例如在設備上安裝任意軟件。

好消息是這個設備沒有攝像頭，所以即使發現任何其他嚴重的漏洞，你也是安全的。除此之外，你可能還會問：誰會愿意花時間去攻擊智能秤呢?事實上，多加留心總是好的，正如本段開頭提到的那張勒索圖片。另外還有一點就是，有時黑客或許使因為好玩而做一些搞怪或破壞性的事情。

智能熨斗

或許你可能覺得破解智能熨斗是一件有趣的事情，這種裝置的存在確實也使我們感到非常好奇。但是如果你發現，通過它的一個嚴重的漏洞，可以燃燒一座房子，那么事情就變得比較嚴重，而不是簡單的有趣了。

[[212072]]

智能熨斗有藍牙連接功能，可以通過手機APP實現許多遠程管理任務。我們假設設備與服務器的通信是不安全的，允許有人控制該設備并訪問它的敏感數據，因為制造商不太可能對傳輸通道的安全有足夠的關注，而且人們普遍認為攻擊智能熨斗沒什么價值。

一旦智能熨斗連接到用戶的手機上，用戶就可以通過iOS和Android的版本的APP對設備進行管理了，例如：

• 查看熨斗的方向(平躺、站立還是懸掛在電纜上);
• 禁用熨斗(但可悲的是，該功能是不可用的)
• 激活“安全模式”(當熨斗的機械開關不起作用時，要重新啟用熨斗的功能，你需要在安全模式下執行)。

在開/關安全方面，如果熨斗處于“平躺”狀態超過五秒鐘，或在“站立”位置停留八分鐘，則熨斗自動關閉。

用戶也可以通過互聯網對智能熨斗進行控制，這樣做的條件是在設備附近有一個網關，比如一個獨立的智能手機或平板電腦以及一個特殊的應用程序。

考慮到這些情況，我們決定仔細研究以下設備的應用程序。一共有三種：一種是iOS版本的，另外兩種是Android版本的。第一個Android應用程序供用戶通過藍牙對設備進行管理;另一個是網關程序，當用戶不在家的時候，可以訪問設備。iOS版本的應用程序是通過藍牙進行管理的，需要近距離接觸。關于這三種的安全性，有一點值得一提，那就是供應商的代碼都沒有進行模糊處理。

查看網絡通信流量時，發現Android藍牙應用程序使用HTTPS進行通信，這是一個明智的解決方案。然而相應的iOS藍牙應用程序并沒有這么做，Android網關應用程序也沒有。

通過IOS藍牙應用程序進行釣魚攻擊的例子

一旦啟用，IOS藍牙應用程序會為用戶提供注冊的機會，數據通過HTTP進行傳輸，沒有任何加密，如上圖所示，我們可以實現一個非常簡單的釣魚攻擊。

如前所述，手機也可以與智能熨斗進行通信，這些通信的數據也是不加密的。深入研究了這些應用程序，查看設備之間的傳輸內容，我們發現可以通過創建特定的命令進而控制智能熨斗。

所以，如果你是一個黑客，你能用這些知識做什么?首先，如果您能夠捕獲用戶的憑據，或者應用程序的授權，可以關閉熨斗或設置為“安全模式”。這里值得一提的一點是，這些應用程序適用于該運營商的智能設備，這種情況同樣適用于其他運營商，這就大大增加了攻擊面。

如果您未能截獲身份驗證數據，也不用擔心沒有攻擊的機會。由于應用程序和設備之間的數據交換是沒有加密的，攻擊者能夠截獲從服務器發送到應用程序的令牌，然后創建自己的命令，并發送給智能熨斗。

因此，在本地網絡中，攻擊者可以執行：

• 身份盜竊(竊取個人電子郵件地址、用戶名、密碼)
• 勒索(利用用戶的無知來啟用“安全模式”，這樣用戶就不能正常地打開熨斗，攻擊者進一步勒索贖金)。

當然，上述兩種攻擊方式極不可能在野外廣泛地進行，但仍然是有可能存在的。試想一下，如果你的私人信息被泄露了，原因不是因為遇到了一個老練的黑客的攻擊，而是因為你的智能熨斗的安全性差，這真是一件很尷尬的事情。

智能家庭集線器

目前大多數可用的物聯網設備的最大的問題是，它們大多是把你的智能手機作為一個獨立的設備使用，而不是集成到一個更大的智能生態系統中。這個問題在一定程度上被所謂的智能集線器解決了：所有節點在一個地方聯合起來，多個獨立的智能設備之間可以進行數據交換。

在此之前，已經有一些研究人員試圖研發一個安全的智能集線器，采取了一個奇特的智能集線器與觸摸屏，有能力兼容不同的物聯網協議，人們對此也有實際的需求。ZigBeeиZwave提供的家庭自動化產品就實現了這一點，通過一個觸摸屏，簡單的進行設置，如下圖所示：

[[212073]]

此外，這一智能集線器還可以充當無線Wi-Fi路由器。

考慮到這個設備具有諸多功能如路由器、范圍擴展器、接入點或無線網橋，我們決定檢查一個最常見和最危險的風險，即“未經授權路由器”的可能性。一旦可以未經授權就能夠訪問該設備，那么就可能導致完全控制用戶的智能家居，包括所有連接的設備。

毫無疑問，研究結果表明這種可能性是確實存在的。

為了檢驗我們的假設，我們創建了一個本地網絡，將PC機、設備和一個路由器連接到一起。能夠查看到所有網絡設備的IP地址，并且還成功地掃描了所有可用端口。初步研究表明，默認情況下，廣域網上有兩個開放端口。第一個端口是80(HTTP協議最常用的端口之一)，它是一個計算機從Web服務器發送和接收基于Web客戶端的通信和消息的端口，該端口用于發送和接收HTML頁面或數據。一旦打開，就意味著任何用戶都可以訪問80端口，通過 HTTP協議訪問用戶的設備。

第二個端口是22，經常用于SSH連接服務器，便于遠程控制設備。攻擊者如果獲得或成功的破解出root密碼，就可以訪問設備。這樣做通常不是一件容易的事。然而，在研究過程中，我們探索了另一個有趣的關于智能集線器的風險，使得這一過程變得很容易。

在分析路由器時，我們發現它可能存在一個非常常見的威脅風險：弱密碼生成。在路由器中我們發現一個名為“rname”的ELF(可執行和可鏈接格式)文件，它保護了一串名稱，這些名稱和密碼可以通過屏幕進行查看，很明顯的可以看出設備的密碼是根據這些名稱生成的，因此，暴力破解不需要太長時間。

在設備被硬復位后，密碼相關的的源代碼行保持不變，符號略有改變。但是，主要的密碼基礎保持不變，而且仍然有生成密碼的機會。

此外，我們發現，用戶經常會使用Root賬號設備訪問，這也為黑客攻擊提供了方便。

如果設備開放了公共的IP地址和上述端口，用戶就可以從因特網上訪問路由器，或者在另一種情況下，如果提供商或ISP(因特網服務提供商)未能正確地配置本地網絡相鄰主機的可見性，這些設備將在同一ISP中對整個本地網絡可用。

總而言之，對檢測所得結果我們并不感到驚訝，就像市場上大多數其他智能集線器一樣，這類設備都為入侵者提供了一個非常廣闊的攻擊面。不僅覆蓋了設備本身，而且覆蓋了它的網絡。