如果凌晨4点钟,恶意软件可以触发起火警报,可以为陌生人打开大门,“智能家庭”突然失灵,无疑会成为噩梦一场。
当你的房子着火了,烟雾报警器会发送文本警报给你,听起来这个主意很不错。安装联网大门,用PIN锁门,它可以用智能手机来编程,听起来也十分方便。如果凌晨4点钟,恶意软件可以触发起火警报,可以为陌生人打开大门,“智能家庭”突然失灵,无疑会成为噩梦一场。
多年来,安全研究社区一直大声疾呼:所谓的物联网(尤其是联网家电)可能会导致漏洞泛滥,波及日常用品。
密歇根大学和微软研究人员最近发布一份报告,他们声称这是一份针对智能家庭平台的深度安全分析报告,研究称黑客可以通过网络入侵智能家庭,比如触发烟雾报警器、在数字锁中植入“后门”PIN码然后悄悄入侵个人家庭。
“如果这些APP控制的是一些不重要的东西,比如遮光窗帘,我不会有什么抱怨。如果要交出关键安全设备的控制权,用户就要多考虑一下了。”密歇根大学研究者费尔南德斯(EarlenceFernandes)称,“最糟糕的事情就是攻击者随时可以进入你的家庭,只要他愿意就可以,此时锁的概念完全失效。”
打开门锁
微软和密歇根研究人员主要测试了三星的SmartThings平台。SmartThings是一个网络家庭系统,单看谷歌Android应用程序店的下载量,就可以知道已经有无数用户在使用。研究人员找到了4种攻击方式入侵SmartThings系统,他们利用了系统存在的一些设计缺陷,比如:APP接入联网设备的一些功能时权限控制糟糕,认证系统允许黑客伪装成合法用户登录SmartThings云控制平台。
在最严重的概念验证攻击中,研究人员发现他们可以利用SmartThings存在缺陷的通用验证协议OAuth。研究者分析了一个AndroidAPP,该应用用来控制SmartThings服务,结果发现有些代码存在缺陷,研究人员可以通过代码掌握SmartThings网络服务器(又叫作OpenRedirect,自由重定向)上存在的漏洞。
漏洞虽然不显眼,研究人员却利用它发动比撬开门锁更为严重的攻击:它们在前门内植入了后门。首先,他们诱骗智能家庭受害者点击一个链接,比如发送一封钓鱼邮件,声称SmartThings来提供支持了。
随后,研究人员精心准备的URL(网址)会将受害者引导到实际的SmartThingsHTTPS网站,受害者登录,没有发现什么明显的不当之处。由于URL中隐藏了重定向信息,受害者的登录许可证会发送到攻击者手中,攻击者可以进入到云计算平台,门锁APP就是用云计算平台控制的,攻击者可以神不知鬼不觉为屋主的锁添加一个4位PIN码。在演示视频中,研究者控制了一块西勒奇牌(Schlage)锁。
密歇根大学计算机教授阿图尔·普拉卡什(AtulPrakash)称,恶意链接可以在SmartThings受害者中广泛传播,只要SmartThings所有者点击了链接,就可以悄悄在门锁中植入后门。普拉卡什称:“只要让他们点击求助论坛、邮件中的链接,绝对可以攻击大量的用户。不论是谁点击、登录了,我们就可以窃取证书,控制他的智能APP。”
恶意APP
研究者承认,在四种演示攻击中,其它三种的技术要更加复杂一些。攻击者需要说服受害者下载一个恶意APP软件,它伪装成SmartThing专用APP程序店的程序——这些程序可以监控SmartThing家庭网络各类设备的充电状况。发动攻击的最大挑战在于:攻击者不只要说服用户下载恶意APP,在最开始时还要将恶意APP放到SmartThings程序商店,这一步研究人员实际上并没有做,他们担心行为可能会导致法律后果,还可能真正威胁到用户的家庭。
由于SmartThings系统在APP权限上存在设计漏洞,实际上通过监控APP入侵设备比通过SmartThings入侵要容易得多。安装软件之后,研究者的演示显示他们可以关掉“休假模式”(定期开灯关灯,让外人看起来好像屋主呆在家中一样)、启动烟雾报警器、从受害者门锁中窃取PIN码然后以文本形式发给攻击者。
在一份声明中,SmartThings新闻发言人表示,几周以来,公司一直在与研究者合作,不断提高智能家庭的安全性。三星对攻击的严重性轻描淡写,声明称:“报告中披露的潜在漏洞主要存在于两种情况:安装恶意SmartApp,第三开发者没有遵守SmartThings规定确保代码的安全性。”三星批评了验证机制存在的缺陷,因为它支持AndroidAPP添加秘密门锁PIN码,研究人员正是利用这点进行反向工程,成功实施重定向攻击。
“至于报告描述的SmartApps恶意软件问题,它实际上没有影响我们的客户,以后也不会影响,因为SmartThings会对程序进行验证,对代码进行评估,确保恶意SmartApps无法通过审批,无法公开发表。我们会进一步强化SmartApp的核准流程,确保报告描述的潜在漏洞不会继续影响我们的客户,任何SmartApp如果要发表,我们会增加更多的安全评估要求。”
权限问题
研究人员表示,到了今天攻击仍然有效,和他们第一次进入SmartThings一样;不论是通过SmartThings验证漏洞对AndroidAPP进行逆向工程,还是权限诱骗漏洞,到现在都还没有修复。
他们还认为,三星SmartThingsAPP评估者要发现他们开发的恶意程序是相当困难的。研究人员解释说,电池监控程序的恶意命令实际上并没有出现在代码中,它被植入到控制APP的服务器中,在代码评估时程序能够通过审核,然后在受害者的设备中运行。
费尔南德斯称:“代码一旦安装,我们就可以轻松插入恶意程序。”事实证明,SmartThings用户事实上会自己安装恶意程序,研究人员调查了22位SmartThings设备用户,发现77%的人对电池监控APP感兴趣。
在研究人员看来,SmartThings平台的最大问题在于过度授权。智能手机APP获得用户的位置信息必须获得授权,SmartThingsAPP如果只是用来检查门锁的电池,它不应该可以用来窃取PIN码,或者关闭起火警报。事实上,研究人员分析了499个SmartThings应用后发现,超过一半的程序在授权上有些过度,有68个程序使用的功能实际上是它们不应该拥有的。普拉卡什称:“三星需要修正过度授权问题。”
对于消费者来说,教训很简单,密歇根大学计算机教授普拉卡什认为:在接受整个智能家庭概念时应该谨慎一些。“这些软件平台相对较新,将它们当成爱好是一回事,但在执行敏感任务时又是另一回事。”普拉卡什称,“当屋主考虑部署智能家庭平台时,他们应该对最坏的情况做好准备,远程黑客可能和你一样掌握相同的功能,你必须考虑这些危险是否可以接受。”
评论 (0)