機械鎖也許是我們日常生活中最根本、最具象、最熟悉的安全屏障。人們鎖上門,期望這些鎖能把壞人關在門外,但安全行業有一句老話:“防君子不防小人”。在物聯網“智慧鎖”時代,事情變得更加糟糕,因為開鎖工具不再是鉤針,而是指令碼和嗅探器。
近日,滲透測試專家Craig Young披露了某品牌智慧門鎖漏洞背後隱藏著的安全威脅:攻擊者可以物理定位並遠端控制連線到智慧門鎖供應商雲基礎結構的任何鎖。安全牛編輯整理如下:
雖然本文中介紹的漏洞已經被修復,但是本次滲透測試暴露了整個智慧門鎖行業,乃至物聯網領域普遍存在的隱私和安全風險。本文的目的是讓人們瞭解並重視物聯網裝置以及驅動物聯網的集中式雲計算的安全問題和威脅。
Craig Young選擇了市場上一款熱門的智慧門鎖——U-Tec生產的UltraLoq智慧門鎖,該鎖連線到供應商的雲基礎架構。已經發現的安全漏洞,例如服務配置錯誤已經於2019年11月初通知了U-Tec,本次研究的焦點是集中化的雲基礎設施提供資料和控制所帶來的風險,很多物聯網應用場景,例如智慧城市和無人駕駛汽車等都可能存在類似的風險。
U-Tec UltraLoq一開始是眾籌平臺Indiegogo上的一款熱門產品,現已透過亞馬遜、家得寶和沃爾瑪等主要零售商直接銷售給消費者。這些鎖擁有一些高階功能,包括指紋讀取器、反窺視觸控式螢幕,以及透過藍芽和WiFi的APP端控制。這些聯網功能帶來極大便利的同時,也讓一些使用者對安全性感到不安。為了打消使用者的疑慮,U-Tec的網站有一篇文章向用戶保證:“雲伺服器具有很強的安全性,使用者的資料已被MD5演算法加密”。
對U–Tec智慧門鎖的滲透測試從Shodan開始,具體來說是Shodan的MQTT資料集。
首先,我們簡要介紹一下MQTT的背景資訊。
MQTT是一種輕量級的釋出-訂閱協議,其中的訊息代理負責協調連線節點之間的區域性資料交換。MQTT的應用場景很多,例如空調系統。請設想一個包含多個溫度感測器(恆溫器),可以透過數字方式控制風扇的HVAC系統,以及根據室溫自動開啟/關閉風扇的監控應用程式。這些感測器和執行器是連線到MQTT代理的低功耗IoT元件,感測器釋出資料,監控應用訂閱此資料,併發送命令給執行器。
感測器的資料使用描述性和分層主題名稱釋出,例如101室的恆溫器將使用"x號樓/溫度/樓層1/房間101"的格式釋出資料。監控應用將訂閱 “建築 X/溫度/#”。#充當萬用字元,允許應用接收來自所有房間的溫度輸入。
在沒有適當的身份驗證和授權方案的情況下部署MQTT時,會出現MQTT被濫用的風險,任何連線到代理的人都可以獲取敏感資料,甚至能夠控制動力學系統。獲得MQTT代理訪問許可權的未授權使用者可以輕鬆地猜測主題名稱並使用#訂閱各種主題以獲取傳輸代理的資料。
透過公共MQTT資料洩露的個人資訊
Shodan的老玩家們一直在使用這些萬用字元查詢收集暴露在公共網際網路上的MQTT代理的資料。儘管Shodan不儲存掃描的個人訊息,但卻能檢索83,000多個代理中的主題名稱。Craig Young測試了各種MQTT搜尋詞,看看多少能夠命中。有一個伺服器引起了Craig Young的注意,因為它有包含MQTT主題名稱的大量頁面,反覆出現在搜尋中,關聯資訊包括“門鎖”和免費電子郵件提供商,如“gmail.com”。
圖1:亞馬遜託管的代理與主題名稱列表
這是一個亞馬遜託管的代理與主題名稱列表,包括個人電子郵件地址和其他資料,看上去似乎與智慧門鎖有關。Craig Young使用Linux命令列工具(例如mosquitto_sub)查詢該伺服器,結果立刻被來自世界各地的大量個人資訊淹沒了。這些資料包括與智慧門鎖關聯的使用者電子郵件和IP地址,以及智慧門鎖鎖開啟和關閉的時間戳記錄等。
下一步是透過購買一個ULTRALOQ智慧門鎖進行測試,明確問題的範圍。
與大多數智慧門鎖類似,ULTRALOQ智慧門鎖也是電池供電,與連線到WiFi的網橋裝置保持藍芽配對。拿到該鎖後,我將它與WiFi橋配對,並監聽其透過MQTT傳送的訊息。
圖2:確認伺服器提供實時客戶資料(已脫敏)
經過幾個鎖定/解鎖週期後,我確認瞭解鎖過程中重複的訊息流。然後,我準備了一個Python指令碼來重放這些訊息,並確認這種方法能夠打鎖。
Craig Young發現:攻擊者只需知道裝置MAC地址就可以很容易地竊取“解鎖令牌”,批次或定點解鎖智慧門鎖。
MQTT資料關聯的電子郵件地址、本地MAC地址和公共IP地址等資料可用於地理位置定位,足以精確識別個人。該裝置還向無線電範圍內的任何人廣播MAC地址。
這意味著:匿名攻擊者還可以收集任何活躍U-Tec客戶的詳細身份資訊,包括其電子郵件地址、IP地址和無線MAC地址。
·這足以識別使用者個人身份及其家庭地址。
·如果此人曾經使用U-Tec應用程式遠端解鎖其門,攻擊者還將獲取其令牌,可在任意時間解開門鎖。
同樣,攻擊者可以實施破壞性攻擊,透過傳送欺騙資訊來阻止智慧鎖的主人解鎖。
11月10日,Craig Young通知U-Tec他們的雲服務給使用者帶來巨大安全風險,U-Tec在10小時內就做出回覆,指出:
U-Tec智慧門鎖的裝置端需要令牌授權,未經授權的使用者將無法開門。
顯然,U-Tec依然沒有意識到真正的威脅,Craig Young於是向U-Tec提供了Shodan的截圖,包括已洩露的,包含活躍客戶電子郵件地址的MQTT主題名稱列表。這一次,U-Tec在一天內做出回應確認該威脅,並表示已經採取補救措施:
1.已關閉埠1883,埠8883是經過身份驗證的埠。
2.已關閉未經身份驗證的使用者訪問。
3.已經在訂閱和傳遞功能中添加了一些規則,現在未經過身份驗證的使用者無法訂閱資料。
4.對於電子郵件問題,他們將在下一個應用程序升級時修復。
遺憾的是,以上這些措施實際上並沒有解決問題。這裡的主要問題是,U-Tec專注於使用者身份驗證,但未能實現使用者級訪問控制。我演示了任何免費/匿名帳戶都可以連線任何智慧門鎖使用者的裝置並與之互動。這一切僅需嗅探應用程式的MQTT流量,以獲取裝置特定的使用者名稱和作為密碼的MD5摘要。
圖3:使用 HTTP Canary嗅探帳戶密碼。
U-Tec的工程師沉默了幾天,但隨後宣佈使用者隔離已經實現。Craig Young發現,攻擊者確實不能再在帳戶之間釋出訊息了,本次滲透測試發現的問題似乎已經解決,但這也許僅僅是開始。僅僅數月前,Pen Test Partners曾報道在ULTRALOQ智慧門鎖中曾發現大量嚴重安全問題,涉案及API、BLE金鑰、儲存等多個層面的漏洞。
智慧門鎖只是冰山一角:MQTT和物聯網安全風險
在與U-Tec 合作以來,Craig Young透過研究暴露的MQTT系統,發現了無數的工業物聯網網路風險,包括車輛跟蹤、計程車排程、彩票亭、建築管理系統等。其中許多系統由向客戶提供服務的裝置製造商操作。在一個案例中,一家歐洲裝置供應商,負責監控他們銷售給壓縮天然氣 (CNG) 加油站的產品。在另一個案例中,一家教育服務提供商的網路洩露了有關個別學生何時到達和離開小學的詳細資訊。
每天,都有大量未經(網路)安全測試的接入雲端的物聯網裝置上市,消費者必須意識到這個逐漸累積的風險。我們要求高速公路上的車輛遵守安全標準,並經過排放測試,以確保環境安全,但資訊高速公路上的網際網路裝置卻完全是法外之地。
即使是門鎖這樣的關鍵安全系統,對產品網路安全的規範和要求也很少,安全監督更少。正如我們在Mirai和其他IoT殭屍網路中所看到的那樣,網際網路上的非關鍵裝置,例如智慧燈泡、智慧冰箱、智慧音箱、攝像頭等,在發生故障或被大規模劫持時也會造成嚴重破壞。Mirai和其他殭屍網路已經“招募”了大量“肉雞”裝置,然後他們可以使用這些裝置擾亂社會和敲詐企業。這些殭屍網路已經證明自己能夠產生令人難以置信的DDoS攻擊流量,但與入侵併控制主流廠商的物聯網雲端相比,目前的威脅也僅僅是冰山一角。
合作電話:18311333376
【來源:安全牛】
宣告:轉載此文是出於傳遞更多資訊之目的。若有來源標註錯誤或侵犯了您的合法權益,請作者持權屬證明與本網聯絡,我們將及時更正、刪除,謝謝。 郵箱地址:[email protected]