随着移动支付产业的兴起,手机的安全性问题已经成为各个厂商必须面对的严重问题,所以智能设备的安全性问题也被提上了日程。近期应用安全公司Veracode的研究者就对6款智能家居设备进行了安全测试,结果发现其中5款都存在严重安全问题
随着移动支付产业的兴起,手机的安全性问题已经成为各个厂商必须面对的严重问题,所以智能设备的安全性问题也被提上了日程。近期应用安全公司Veracode的研究者就对6款智能家居设备进行了安全测试,结果发现其中5款都存在严重安全问题。智能家居设备的安全性问题堪忧的现象,将会在未来集中爆发从而引发用户缺乏信任感,所以智能家居厂商必然要提前面对并且解决这个问题。
Veracode所测试的这6款设备包括Chamberlain MyQ Garage、Chamberlain MyQ Internet Gateway、SmartThings Hub、Ubi、Wink Hub和Wink Relay。在多种家庭自动化设备和传感器的帮助下――包括门锁、开关和电源插座――所有这些设备都可通过互联网实现远程控制和监控功能,它们中的大多数还可连接至基于云端的服务,用户则可通过网页端口或智能手机应用与之进行交互。
Veracode并没有试图寻找这些设备固件当中的漏洞,而是对它们的工作方式及使用的通讯协议进行了分析。安全专家们查看了这些设备的前端(用户和云服务之间)和后端(设备和云服务之间)连接,在前端连接方面,他们发现只有SmartThings Hub执行了强密码,而Ubi甚至没有对用户连接进行任何加密,这无疑给中间人攻击创造了可能。
而在后端连接这一块,这些设备的表现更加糟糕。Ubi和MyQ Garage没有执行加密,没有提供对抗中间人攻击的必要保护,对于重放攻击也毫无防御力。此外,Ubi也没有对敏感数据进行适当的保护。
除了SmartThings Hub之外,这些设备都不具备中间人攻击保护,因为它们要么完全没有使用安全传输层协议(TLS)加密,或是没有使用适当的证书验证执行TLS加密。
这种情况表明,厂商在产品设计阶段都是假定它们未来所运行的网络环境都是安全的,但事实显然并非如此。从过去几年里的安全研究中我们可以看出,如果说有什么东西的安全性比物联网设备还要差,那就是消费类路由器了。安全专家经常会在路由器当中发现严重的安全漏洞,它们中的大多数可让黑客执行中间人攻击,也导致了数以百万计的路由器被用于大规模的攻击。
物联网厂商对于家庭网络安全的错误信任也反映在了旗下产品暴露于这些网络中的调试接口和其他服务。
Veracode的研究者发现,Wink Hub会在80端口运行未认证的HTTP服务,Wink Relay会运行可通过网络访问的ADB服务,Ubi运行ADB和VNC(远程桌面)服务时都不需要密码,SmartThings Hub所运行的Telnet服务器受到了密码保护,MyQ Garage所运行的HTTPS服务会暴露基本连接信息。
在Wink Relay和Ubi这两款设备身上,暴露的ADB接口可向攻击者提供root权限,让他们得以在设备上执行任意代码和命令。
在云端服务方面,Veracode的研究者虽然没有直接对这些服务的安全性进行分析,但他们还是考虑到了几种可能出现的情况,比如如果攻击者获取到了用户账户、截获了与之接近的连接、或是彻底冲破云服务会发生什么。他们得出的结论是,这些情况会导致严重程度不同的安全问题,轻则暴露敏感信息,重则致使设备彻底被控制。
厂商并没有清楚地向用户解释这些设备对于云服务的依赖,但他们的确应该如此――因为并不是每一位用户都意识到,他们并不是直接和设备进行交互的。当使用配套的移动应用时,控制信号实际上需要通过由第三方运营的服务才会被传递到设备当中。这同时也意味着,需要获得安全措施保护的不仅仅是硬件设备本身,还包括网络服务。
Veracode根据这些分析结果得出的结论是,这些测试设备的设计师“没有足够重视安全和隐私,从而把消费者置于网络攻击或物理入侵的风险当中”。
举个例子,Ubi设备所收集的信息可让不法之徒了解到你家里是否有人(根据环境噪音或灯光)。此外,通过利用Ubi或Wink Relay所含的漏洞,攻击者可以使用设备的麦克风进行窃听。
但所幸的是,不同于路由器这种设备,许多物联网设备都具备自动升级的能力。因此当发现问题时,厂商可以轻松地推送修复升级。
声明:本文内容来源自网络,文字、图片等素材版权属于原作者,平台转载素材出于传递更多信息,文章内容仅供参考与学习,切勿作为商业目的使用。如果侵害了您的合法权益,请您及时与我们联系,我们会在第一时间进行处理!我们尊重版权,也致力于保护版权,站搜网感谢您的分享!