Smart-Lock黑客指出了更大的物联网问题


来源:   时间:2020-08-21 15:32:27


关于智能锁漏洞的两个最新报告显示,物联网供应商在确保安全地部署和配置其产品方面还有更大的工作要做。

根据Grand View Research的数据,2019年全球智能锁市场规模为12亿美元,仅那一年就售出了超过700万台设备。从2020年到2027年,它的复合年增长率预计将达到18.5%。

但是,最近发布的两个有关智能锁漏洞的报告应该使消费者和供应商都认真考虑这些设备的部署和实现方式。

U-tec Ultraloq

报告了他在U-tec Ultraloq中发现的一个缺陷,该缺陷是从Indiegogo战役开始的智能锁项目。Tripwire的安全研究员Craig Young告诉Dark Reading,他只是在2019年末遇到了这个缺陷因为他对用于受约束的物联网(IoT)设备的轻量级发布订阅协议MQTT(消息队列遥测传输)感兴趣。

正如Young在他的研究中解释的那样:“使用MQTT的风险是在没有适当的身份验证和授权方案的情况下部署的。如果不这样做,则可以连接到代理的任何人都可能泄漏敏感数据并潜在地影响动力学系统。未经授权的用户会获得访问MQTT代理可以轻松地猜测主题名称,并使用#订阅各种主题以获取传输代理的数据。”

在对连接设备的搜索引擎Shodan进行一系列搜索时,Young发现了一台服务器,该服务器具有几页MQTT主题名称,该主题还在搜索中引用“ lock”和免费电子邮件提供商(例如“ gmail.com”)出现。

“我用Linux命令行工具(例如mosquitto_sub)自己查询服务器,显然我是全世界的PII都立即淹没了它,” Young写道,并补充说,数据包括与锁相关联的电子邮件和IP地址以及带有时间戳的时间记录。以及他们打开和关闭的地方。

最终,Young说他能够将其连接回U-tec。接下来,他购买了该锁,并通过Wi-Fi桥将其与蓝牙配对,并通过MQTT监视消息,直到发现该漏洞为止。

“ MQTT数据将适用于地理位置的电子邮件地址,本地MAC地址和公共IP地址关联起来。该设备还将广播MAC地址给无线电范围内的任何人。这意味着匿名攻击者还可以收集标识细节。任何活跃的U-Tec客户,包括他们的电子邮件地址,IP地址和无线MAC地址。”他写道。“这足以识别特定的人及其家庭住址……如果该人​​曾经使用U-Tec应用程序打开门,那么攻击者现在还将拥有在选择时打开门的令牌。”

Young可以通过打开支持通知报告该缺陷来与供应商联系。在首先告诉他“请别担心”之后,U-tec最终通过实施访问控制解决了该问题。

Young说,MQTT可能是“一个完全安全的选择”,但是U-tec并未采取正确的措施。

他说:“您应该使用访问控制,身份验证和加密。在这种情况下,使用U-tec时,它最初并没有使用。”

August Smart Lock

在另一份报告中,网络安全公司Bitdefender详细介绍了也在2019年底与August Smart Lock发现的漏洞,这是与PCMag持续合作的一部分,他们通过该合作伙伴评估了智能设备的安全性。

在浏览该产品时,Bitdefender团队表示发现该设备与智能手机应用程序的通信已加密,但加密密钥本身已硬编码到该应用程序中,从而使范围内的攻击者能够窃听和拦截Wi-Fi密码。

根据Bitdefender首席安全研究员Alex(Jay)Balan的说法,虽然此漏洞特定于设备设置时,但该团队还能够找到一种方法,让社会工程学的用户通过敲门来再次将设备置于设置模式它离线。

Balan说:“作为攻击者,我们的方法是将其脱机,直到用户感到沮丧为止,然后重新启动设备,并将其重新配置为出厂设置。”“那是您拦截该通信并获取Wi-Fi密码的时候。”

Bitdefender于12月首次与该漏洞进行接触;但是,巴兰说:“三月份的通讯中断了。”当Bitdefender于本月发表揭露该缺陷的论文时,August再次表示该公司正在发布修复程序,但Bitdefender无法确认其成功。

Balan说:“他们说他们确实提供了修复程序。我们没有得到。我们现在无法确认修复程序。”

物联网的更大问题

Young和Balan都表示,问题与智能锁无关,而更多与物联网设备的开发和部署方式有关,以及缺乏最佳实践和供应商和消费者的尽职调查。

Balan说:“生活中很少有公司拥有安全联系,这是一个可悲的事实,”他指出Bitdefender很难报告产品漏洞。“我认为,没有有效的安全联系,任何公司都不能运营。”

他建议消费者从具有明显漏洞和披露程序的公司购买产品。

年轻人同意。他说:“可能应该有适当的法规说明如果要制造某些类型的设备,则需要建立联系形式。”

据FortiGuard Labs的网络安全研究人员和实践者Aamir Lakhani称,由于很难在安全性和易用性之间取得平衡,因此智能锁和其他物联网产品普遍存在漏洞。

他告诉Dark Reading,“设计一种易于安装且安全的设备非常困难,因为制造商需要应对各种各样的家庭网络,路由器,接入点和其他设备。”“因此,制造商可以使用'最小公分母'来访问其设备,这通常意味着使用的安全协议并非在每种环境中都总是最安全的。”

Omdia物联网网络安全分析师Tanner Johnson说,另一个问题是上市时间。设备被赶出市场而对安全性的关注不足。

约翰逊说:“公司本身比将其召回更担心根本不将其推向市场。”“他们认为召回是可怕的,但没有没有参加市场竞争那样糟糕。”

约翰逊说,需要的是联邦一级的法规。他说:“我知道国家是民主的实验室,但现在不是尝试安全的时候。我们需要安全解决方案,它们必须得到接受和尊重。”

物联网:对远程工作人员

的另一威胁随着人们在家工作和学习,对物联网的安全保护变得尤为重要。

“攻击者知道,在大量的人在家工作的情况下,访问家庭网络的一种可能方法,也许是从侧面进入有价值的公司资源,这可能是攻击家用物联网设备并确定他们是否可以将其用作发射设备。指向攻击者的其他更有价值的目标。”

他建议最终用户至少更改IoT设备上的默认密码并分割家庭网络,以将公司资产与个人IoT分开。

他说,此外,组织可以采取措施来减轻远程工作环境中IoT设备的风险,方法是设置适当的安全软件,操作系统补丁和策略以及访问方法(例如多因素身份验证,网络访问控制和证书)基于访问。

  版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“物联之家 - 物联观察新视角,国内领先科技门户”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场。

延伸阅读

最新文章

Smart-Lock黑客指出了更大的物联网问题 Smart-Lock黑客指出了更大的物联网问题

精彩推荐

产业新闻

Haylou 智能手表 2 上架京东:12 种运动模式 / 20 天续航,129.9 元 Haylou 智能手表 2 上架京东:12 种运动模式 / 20 天续航,129.9 元

热门推荐

版权所有:物联之家 - 物联观察新视角,国内领先科技门户