何清林

1、智能家居行业发展现状

自2005年国际电信联盟正式提出物联网概念以来,传感器网络、云计算、微型芯片等技术不断发展成熟,物联网产业也迅速发展扩大。根据国际数据公司预测,到2020年物联网市场规模将会突破7万亿美元,物联网设备达到300亿台。

根据产品类型,智能家居设备可以粗略划分为智能网关/家庭路由器、智能摄像头、智能门锁、智能电视、智能白电(冰箱洗衣机空调)、智能厨电等几大类。除了以上主流设备外,智能家居还包括一些“小功能”的设备,如智能窗帘、智能人体感应、智能温湿度感应器、智能插座等,这些不同的产品形态组成了整个智能家居体系。主要智能家居产品及厂商如下所示。

图1 智能家居产品及主要公司

智能家居设备一般采用蓝牙、wifi、zigbee等物联网协议,与智能网关或家用路由器进行通信,并通过APP进行远程控制操作,设备与云平台直接进行相互数据通信,这也是与智能家居设备和传统家居设备的主要区别,即是否有联网和远程控制行为。一个典型的智能家居组网环境图如下所示:

图2 典型智能家居组网图

随着智能家居设备进入千家万户,网络安全问题已经不再局限于传统的网络空间,而是与真实的物理世界空间产生了关联。智能家居设备的安全问题不仅会对IT基础设施构成威胁,还会直接影响到广大人民群众的日常生活。

2、智能家居行业安全分析

2.1风险分析

智能设备风险:一是智能设备主要通过网络远程控制,常用的传感通信技术包括WiFi、RFID、蓝牙、ZigBee、NB-IoT、GPS等,这些技术都暴露了不同程度的安全问题,具体包括明文密码、通用密码、重放攻击和中间人攻击等;二是智能家居的硬件传感器连接相对暴露,并且对访问控制的强度不足,通常信任传感器的信号输入,这就为攻击信号提供了执行的可能性;三是智能设备大多都是基于linux Kernel 开发的,而Linux最初并不是针对这类终端设计的,所以在适配新型的智能设备后会产生很多新的安全漏洞,或者linux内存在的漏洞,由于智能设备的更新周期长或根本没有固件更新功能,从而引发安全问题。

智能APP风险:智能家居APP的远程控制智能家居设备为用户提供了非常大的便利,目前由于各智能家居厂商网络安全意识比较薄弱,导致在APP开发时安全方面的设计不全面,另外由于大部分APP由于急需市场需求和成本问题,开发完成后未进行安全加固和审查。具体问题包括:伪造应用、不安全的授权与数据通信及存储、调试日志信息泄露风险、源代码反编译风险和数据任意备份风险等。

智慧云平台风险:目前智能家居厂商部署的智慧云服务器普遍采用开源框架,或者老版本的web应用服务器,导致云端的管理系统和数据web接口存在着很多传统Web的安全隐患,同样由于目前智能家居厂商的安全性意识比较薄弱,对用户隐私问题重视度不够,对权限控制不是很严格,由此导致了了一系列风险,具体包括:管理后台与测试接口暴露、身份认证不足、暴力破解、web典型漏洞等。

2.2威胁研判

对网络空间重要IT基础设施威胁。海量的智能家居设备变成联网设备,由于设备、APP及云平台等各方面都存在安全风险,因此设备有可能被大量利用其漏洞植入恶意程序,从而变成被控端节点,会对传统网络空间的IT基础设施构成威胁。如2015年爆发的Mirai事件,智能摄像头的漏洞被黑客利用导致了美国大面积断网事件。根据Cert观测到的结果,Mirai的各种变种仍然在互联网上传播,试图寻找有漏洞的物联网设备,构建大型僵尸网络。目前联网的大量智能家居设备很有可能称为这些黑客攻击的目标,从而变成僵尸网络。

真实生活场景安全。智能家居设备将网络空间和物理空间结合起来,传统网络空间的安全问题演变成了现实物理空间安全问题,如智能门锁被攻击会造成家庭财产损失和威胁人身安全,智能厨电被恶意操作会造成厨房着火事件,继而引发公寓及整个大楼着火等。还有很多影响虽然没有那么大,但是会干扰日常生活的安全事件。下面这附图虽然幽默成分比较多,但是也反应了安全趋势:

2.3真实案例分析

2.3.1远程端口开放安全威胁

现象:通过开启的telnet、ssh、adb等可远程登录或调试的端口控制智能设备。

原因:厂商为便于调试或者疏于安全意识,在智能设备出厂后未关闭远程端口,导致智能设备默认开启远程端口暴露在网络中。经测试发现多款基于安卓系统的智能设备,如智能电视、智能机顶盒、智能烤箱等默认开启adb调试端口5555,使用adb可直接获取shell权限。而很多基于busybox等嵌入式linux系统开放了telnet、ssh登录服务,大部分为默认口令,其余一部分为空口令,极少数使用的复杂度非常高的密码口令,但由于未设置登录失败限制,依旧有被暴力破解的风险。

分析:智能家居设备开启远程端口,可造成的后果是最为惨重的。这种漏洞如果被大量利用,会对传统网络空间的IT基础设施构成威胁,如Mirai事件等。虽然Mirai事件已经爆发了一年多,但目前成的危害仍然对互联网产生着巨大的影响,尤其在作者“嚣张”地公开源代码后,出现了很多类型的变种木马蠕虫,例如IoT_reaper、Satori、Hajime等,利用侵占的物联网设备,实施IoT挖矿或者DDoS攻击。

2.3.2智能门锁安全隐患(CNVD-2018-02695)

现象:可任意进行打开或关闭智能门锁的操作。

原因:现在部分智能门锁可以使用无线电钥匙进行开关锁。无线433MHz频段的传输特点是:433MHz是我们国家的免申请段发射接收频率,可直接使用,所以比较适合门锁、门铃等短距离传输的设备通讯频率选择。而大多数无线电信号仅采用了固定数据,并未采用滚动码、随机码等防重放机制。经对部分智能门锁APK的分析,确定了联网无线电设备工作逻辑,发现开关锁的信号未作重放防护,如滚动码等。可进行无线电命令信号的重放,发现门锁立即响应信号执行开关门的操作。

分析:近两年,智能门锁在国内市场的普及范围越来越广,已经被广泛应用在国内的中高档小区、写字楼、政府机关等使用场景中。如果门锁遭到了控制,坏人随意进出,会带来极大的安全隐患。

3、智能家居行业安全监测情况

3.1智能设备

对智能家居行业发展较为突出的某些厂商的智能家居设备进行流量安全监测,通过智能设备的网络流量深度排查后,整理数据包筛选出具有严重攻击行为的数据流,归纳威胁情报并溯源得到威胁IP。将各个厂商的安全威胁数据整合成可视化的主机攻击关系桑基图,举例如下:

图4 主机攻击关系桑基图

图5 主机攻击关系桑基图

可以通过桑基图可以发现很多设备遭受攻击后,被类似于蠕虫的方式感染,感染后的智能设备再去感染其它设备,形成典型的僵尸网络,对流量进行分析后发现在流量特征内发现木马文件的下载和执行,对木马进行分析发现为Mirai变种僵尸病毒。

对多款智能设备的硬件进行检测时发现,总结发现的智能设备安全隐患前三名:

(1)未破坏硬件接口,例如 JTAG、SWID、UART,这些用于设备制造商在设计时的前期调试,生产时的程序烧录,以及诊断测试的目的,在出厂销售后也未进行安全防护,通过串口调试可轻易控制智能设备。

(2)设备开启远程调试端口,部分电视出厂后默认开启adb调试端口5555,使用adb可远程登录电视获取shell权;并且发现多款家庭多功能智能主机、智能路由器等开启了SSH、telnet等远程登录服务,使用默认口令或空口令登录内嵌的linux系统;

(3)在嵌入式系统启动时需要使用bootloader来加载启动的程序,通常启动代码均使用芯片厂商提供的解决方案,对启动程序提供的多项功能没有裁减,通过不正常引导设备启动方式可以将设备引导到攻击者预制的系统中。此外经过测试发现部分智能设备特别是原生制造企业和OEM厂商产品未对启动程序进行保护和升级措施,没有远程固件更新机制,不能够随时随地的给设备打补丁,安全隐患只能有用户承担。而互联网公司的产品基于迭代思维和用户体验优先的原则基本上都留有升级通道。

3.2 智能家居APP

对目前主流的智能家居app抽样134个进行安全检测,包括漏洞扫描和风险评估两个方面,根据检测的安全隐患结果进行评定安全性分数,将安全性分为三档,评定如下表:

(1)漏洞扫描

共发现APP漏洞340个。从危险等级看,高危漏洞占比25.8%,中危漏洞占比51.8%,低危漏洞占比22.4%。危险等级分布如下图所示。

图6 漏洞危险等级分布

从漏洞类型看,HTTPS服务器校验漏洞、加密模式破解漏洞和拒绝服务攻击漏洞三类漏洞最多,占比分别为21.8%,18.2%和14.4%。

(2)风险评估

系统发现APP潜在的外部攻击风险1616个,从危险等级看,高危风险占比32.9%,中危风险占比52.6%,低危风险占比14.5%。危险等级分布如下图所示。

 

图7 风险等级分布

从风险类型看,最常见的是调试日志信息泄露风险、源代码反编译风险和数任意备份风险,占比分别为8.2%,7.5%和7.4%。

3.3 智慧云平台

对部分智能家居智慧云平台的监测结果发现,传统Web安全中的问题同样存在于物联网云端Web接口,如跨站脚本、文件修改、命令执行及SQL注入等。大多数的智能平台依旧没有将用户隐私重视起来,存在着很多开发时可避免的web常见漏洞。部分实例:

  • 智能家源码泄露漏洞

漏洞说明:如图通过查看网页源代码,发现页面上存在系统开发框架和作者信息。

图8 源码泄露漏洞

  • IIS6.0解析漏洞

通过文件上传和IIS6.0解析漏洞,攻击者可控制服务器权限,从而能够造成关键数据信息泄漏,攻击者也可利用此漏洞修改或删除系统源码,造成系统崩溃,存在极大的安全风险。

图9 IIS6.0解析漏洞

  • 敏感信息泄露漏洞

图10 泄露数据库登录信息

图11 数据库泄露

  • SQL注入漏洞

通过SQL注入漏洞,攻击者能够篡改或删除系统资料,造成系统资料的泄露及丢失,影响系统的正常功能,无法访问运行。存在极大的安全风险。

 图12 SQL注入漏洞点

  • 旁站文件上传漏洞

通过任意文件上传漏洞,攻击者可控制服务器权限,从而能够造成关键数据信息泄漏,攻击者也可利用此漏洞修改或删除系统源码,造成系统崩溃,存在极大的安全风险。

 

图13 获得服务器权限

除此之外,还有很多高危漏洞存在,例如:默认口令漏洞、SSH密码爆破、Mysql数据库暴露、FTP密码爆破、Tomcat后台爆破、物理路径泄漏、目录遍历漏洞等,其中大多安全隐患都会造成大量用户信息泄露、设备信息泄露等严重后果。

4、智能家居行业安全建议和对策

4.1 标准先行

在物联网的总体架构方面,国际电信联盟(ITU)提出了泛在(USN/UN)的概念,并成立了SG20工作组专门从事物联网标准工作,ETSI对M2M体系架构进行分析,ISO/IEC对物联网、传感网相关的术语和架构进行了研究。不同的标准组织针对不的概念和对象进行了研究,从不同的角度规范了物联网术语和框架。

目前相关IoT相关标准化组织如下:

图14 全球物联网标准化组织

物联网标准体系框架将物联网标准体系划分为六个大类,分别为基础类、感知类、网络传输类、服务支撑类、业务应用类、共性技术类。

图15 物联网标准体系框架

一般基础类标准包括体系结构和参考模型标准、术语和需求分析标准等,它们是物联网标准体系的顶层设计和指导性文件,负责对物联网通用系统体系结构、技术参考模型、数据体系结构设计等重要基础性技术进行规范。

例如国际上的ISO/IEC安全标准、FDA安全要求、NIST安全标准,和国内目前出行的物联网、智能终端、智能家居等安全标准。

通过国内外发布的通用类最佳实践、智能家居类、智能交通类的智能安全实践总结出硬件安全、软件安全、网络安全、云安全等,并从全生命周期安全开发到供应链风险等进行了阐述。

4.2安全防护

通过安全监测的漏洞挖掘和风险评估结果映射出智能家居的各方面安全隐患,经分析可发现需在六个方面进行安全防护,可限制目前大部分安全问题。

图16 智能家居安全防护

4.3安全监测

记录每天产生日志数据,包括终端行为日志、网络安全日志、系统运行及入侵检测日志、WAF防护日志以及网络流量、基线检查等信息。基于这些日志,通过大数据安全分析平台,借助模式匹配、沙盒分析、机器学习、专家经验等规则,有的放矢提取情境数据,建立用户行为画像,实现异常行为数据的自动识别、分析和关联,还原攻击路径并进行全链路风险打标和综合评分,精准有效感知业务系统可能存在的风险隐患以及特定的APT攻击,同时与异常流量清洗平台联动,保障业务系统的安全性和客户数据的隐私性。

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。