安全预警:物联网应用程序漏洞致使物联网设备易于被攻击
物联网设备被攻击将成为节假日中最“惊喜”的礼物。IoT即Internet of Things(物联网)的缩写,这不仅仅只是一个流行词。随着网络连接功能被添加到产品和设备中,物联网时代将使产品生产制造和使用方式发生巨大转变。有一天,您的冰箱会给您发送短信,通知您牛奶已经喝完:这是物联网。您的恒温器会在您的手机上显示使用图表:是的,这也是物联网。基本上,任何能够连接到网络的而不仅仅是电脑、手机、平板电脑或路由器等设备都被视为物联网设备。
然而,物联网设备的安全性已经成为一个大问题。尽管已在不断改进,但仍然存在新的漏洞。例如,梭子鱼网络实验室团队最近通过对物联网监控摄像机研究发现一个新威胁:物联网凭据泄露,即利用网络和移动应用程序漏洞来攻击物联网设备。
威胁概述:
物联网凭据泄露——攻击者可以利用某些物联网设备使用的网络应用程序和移动应用程序的漏洞获取凭证,然后用于查看视频来源,设置/接收/删除警报,从云存储中删除保存的视频剪辑和读取帐户信息。攻击者还可以使用凭据将自己的固件更新至设备,更改其功能,并使用这个设备攻击相同网络上的其它设备。
详细情况:
梭子鱼网络实验室团队为说明该威胁,近期对连接的监控摄像机开展研究,并在摄像机网络应用程序和移动应用程序生态系统中发现多个漏洞:
移动应用程序忽视了服务器证书的有效性网络应用程序中的跨站点的脚本(XSS)云服务器中的文件遍历用户控制设备更新链接设备更新未签名设备忽视了服务器证书的有效性
通过利用这些漏洞,无需直接连接设备本身即可进行以下攻击以获取凭证并破坏物联网设备。
通过移动应用程序获取凭证
如果攻击者通过使用恶意网络拦截移动应用程序中的流量,他们可以轻松获取用户密码。获取方式如下:
受害者用手机连接到一个恶意网络。连接的摄像机应用程序会试图通过https连接到供应商的服务器。恶意网络会将路由器连接到攻击者的服务器,使用其自身的SSL证书,并将通信代理连接到供应商的服务器。攻击者的服务器现在持有用户密码的未加安全保护的MD5。攻击者还可以篡改供应商服务器和应用程序之间的通信。通过网络应用程序获取凭证
这类攻击利用了用户与其他用户共享设备访问连接摄像机权限的这一功能。接收者为共享设备,需要在物联网供应商创建一个有效的帐户,而发送者需要知道接收者的用户名,即电子邮件地址。
攻击者在设备名中嵌入XSS漏洞,然后和受害者共享该设备。一旦受害者使用网络应用程序登录他的帐户,XSS漏洞会开始启动并与攻击者共享访问令牌(在网络应用程序中存储为变量)。攻击者有了访问令牌,就可以进入受害者的帐户及其所有的注册设备。
梭子鱼网络实验室团队通过这项研究了解到攻击者无需直接连接设备本身就能成功破坏了一个物联网设备(连接摄像机)。一些攻击者操作起来则更加轻松,都无需在Shodan 上寻找带有漏洞的设备,只需攻击供应商的基础设施就可达到目的。该威胁利用的是设备与云端的通信方式,所以它也还可以影响其它类型的物联网设备(无论什么功能的设备)。
毕竟,漏洞并非出自产品本身,而来自开发人员的流程、技能和意识。随着物联网设备的访问和访问控制转移到云端,漏洞也随之转移。
物联网制造商可借鉴之处
设计物联网解决方案的供应商需要对设备运行所采用的应用程序的所有方面都要提供保护。物联网设备是分布于家庭、学校和办公室的传感器,它们也将成为攻击者的潜在切入口。每位客户的网络均向服务器核心和其他客户开放。
Web应用防火墙是物联网供应商最需要提供关键保护的位置之一,避免服务器受到第7层HTTP通信的影响。制造商还需要对网络层攻击和网络钓鱼加强保护。
云安全为物联网应用程序和运行的基础设施提供可见性、保护和修复,所以也很重要。横向运动暴露的可能性很大且相当复杂,因此关键在于要采取适当的安全预防措施。
作为消费者,您如何保护自己
消费者在购买物联网设备时,除了考虑便利性和价格外,还需要考虑安全性。以下是一些需要考虑的小贴士:
研究设备制造商的安全意识——一些生产物联网设备的公司了解软件安全。而其中大部分或者是现有公司,其专业知识在于制造正在连接的物理产品;或者是希望尽快把设备推向市场的创业公司。这两种情况都会忽视适当的软件和网络安全措施。在供应商的其它设备中寻找现有漏洞——如果一个设备存在漏洞,那么同家公司具有类似功能的其它设备也会存在漏洞。归根结底,之前始终确保设备安全的供应商未来也会继续生产安全设备。评估对过去漏洞的响应——如果供应商对人们反应的漏洞作出响应,并通过固件更新快速解决问题,说明了他们对制作的安全性和未来产品的态度。
目前,关于物联网设备的安全性信息还是非常少。理想情况下,我们希望物联网产品可以和汽车一样,都对安全等级进行评分。消费者在对物联网设备进行投资前,应了解具体信息和情况。