左手便利,右手危险 | 盘点物联网安全的七个薄弱点

前言

诸如智能家居等形式的物联网设备正在深入人们的生活,在企业环境中物联网设备早已无处不在。因此物联网安全的重要性也越来越高,本文罗列了7个物联网应用的薄弱点供大家参考。

1. 千奇百怪的网页用户界面

用户都喜欢一个好看、好用的网络交互界面。在物联网应用领域,网络用户界面可用于实现设备的控制、设置和集成功能,如使用多个智能LED灯泡构建Mesh网络等。功能很多,随之而来的问题也不少。

物联网设备的用户界面和企业网络安全领域的痛点类似,虽然不会被SQL注入这种问题困扰,但命令注入、跨站点脚本和请求伪造等手段仍可为犯罪分子大开方便之门,黑客可获取完整的系统权限并随时访问设备,监控甚至干扰用户的生活。

好在大多数物联网设备的网页界面安全问题可以部署常规解决方案,比如验证输入、强密码、不公开凭据、限制密码重试次数以及可靠的密码和用户名恢复流程等。

2. 被忽视的身份验证步骤

人们在选购物联网设备时,注意力往往会放在功能是否丰富这一点上,如控制家居产品、居住环境(如空调或者灯光氛围)、通过音视频对区域进行监控等功能,在帮助用户监控区域安全的时候,很少有厂商将设备的安全性当成卖点来吸引用户。这也从侧面反应出厂商和用户多少对设备本身的安全性重视得不够。很多物联网应用都缺乏对于身份的基本验证步骤,而有认证步骤的其实做得还不够。

对于物联网应用而言,需要两种类型的身份验证:

用户身份验证。鉴于物联网环境的复杂性,是否要求特定区域中的每个物联网设备进行安全认证,还是一次认证即可通行整个生态系统,这是在产品设计时厂商们常常面临的问题。大多数系统设计人员因为便利性而选择后者,这样一来,对于处在该物联网系统中心的设备或各设备共用的统一入口而言,可靠的身份认证步骤绝对不能少。 设备身份验证。由于用户不会在每个设备上进行身份验证,因此物联网中的设备应进行互相的身份验证,防止黑客将一些不受信任的设备,如被黑的路由器等,接入该网络。

解决上述风险的思路和第一条一样,就是要重视物联网应用的开发,不要光卖硬件,将配套的固件/软件当作卖点来开发。没有用户界面,设备间只是各种API接口的调用,因此无需设备的身份验证这种理由可以束之高阁了。

3. 千篇一律的默认值

用户名是“Admin”,密码也是“Admin”,这种情况在一些普通的路由器上很常见。用户用起来方便,不过“别人”用起来也方便。现在这个问题跑到了物联网设备身上。

默认的用户凭证信息会为物联网设备的安全带来巨大的风险。如果网络被黑客入侵,通过简单的猜解即可进入设备后台,获取端口信息、为每个用户设置管理员权限、设置网络参数等,这些都是和网络安全息息相关的设置。不仅是入口设备,整个系统中的设备都有可能被黑客全面接管。

除了完善入口网络或者基础设备的安全性之外,为每台产品设置不同的默认值将会是一个简单有效的方法。这一点主要还是厂商要付出努力,相比网页用户界面和身份验证体系的开发而言,要解决这个问题相对来说比较简单。

4. 不受重视的固件漏洞

物联网设备的硬件和软件两个领域发展历史不长,技术积淀也不够厚重,所以漏洞也频发。

开发人员也会经常积极推出漏洞补丁或者是功能性的更新。问题是它不像手机操作系统,对于用户而言难以感知,有时候哪怕是知道有新的固件,也懒得去更新。还有一种情况是,没有用户界面的物联网设备也是进行固件更新的一大障碍。 一般情况下,物联网设备放在某个地方时候就不会怎么移动,这样就给黑客提供了充裕的时间来实验各种方法和手段。之前发生的巴西20多万台路由器被劫持用于挖矿就是一个典型的例子,厂商早在漏洞发现后的第一时间里发布了新版固件,但是数月后仍有很多用户由于各种原因没有部署该固件,从而导致海量路由器被大面积劫持。

因此,有新的就用新的,要是实在用不了,看到了相关问题也要留个心眼,通过其他方法,如增加/调整网络防火墙、提升安全检查的频率来加固系统。

5. 人见人爱的云端

物联网设备的蓬勃发展离不开国内外各大厂商对于云端系统的大量投入,现在没有几个消费电子领域和商业领域中的物联网系统,能够不依赖云端进行大量的任务处理和命令识别和运行等操作。如果要进行语音识别/交互时,这就更跑不开了,而设备与云端建立的链路可能成为一个薄弱点。

物联网设备与云端通信所用的消息类型多种多样,有简单的数据包传递,也有会语音和视频流的发送,处理任务列表、日历事件,以及运行DevOps框架和工具指令等高级任务也是常见。这些敏感数据流是否通过加密隧道传输?你知道吗? 这里的问题前面几个一样,主动权并不掌握在用户手里。设备采用哪款物联网芯片?接入哪个云平台?使用的API接口是什么?接口支持的加密协议有哪些、启用了哪个?如果身边有物联网设备的朋友可以自己问问自己清楚这些问题的答案否。

用户侧目前能做的只有加固防火墙、部署入侵防御系统(IPS)设备或是其他安全工具来做些弥补。

6. 难以防御的内部根源

写得不好的物联网应用程序对于网络防火墙来说也是个大麻烦,恶意代码/信息可以搭乘获得防火墙信任的物联网设备数据流自由进出,好比是在防火墙上挖来了一个洞。

物联网设备通过网络内部调用其控制服务器,然后通过心跳信号来维护链路。建立连接后,攻击者可以利用未加密和未经身份验证的流量漏洞,在开放链路发送/传输恶意流量。这样的话黑客就可以从外部进入用户的系统并利用物联网设备的漏洞进行恶意活动。

有些人可能会说黑客要预先知道设备的连接类型才能利用漏洞,他们可能没有听说过Shodan。通过简单的Shodan搜索,可以在不花费太多精力或时间的情况下找到各种设备、通信方式和开放端口。定位到设备之后就可以使用简单的脚本实现自动化攻击。

7. 一半是天使,一半是恶魔的通信协议

工业控制领域的通信协议,如MQTT的应用面非常广泛,通信协议本身并没有什么问题,而是实现它们的方式导致海量的系统遭受安全风险。

以前,工业控制安全的模式很简单:

首先,系统要尽可能少地连接到任何广域网络; 接下来,就看谁想要攻击工业控制系统了。

现在越来越多的工业控制系统依托于互联网,这就变成了各路黑客的香饽饽和练手的对象,都希望能够通过各种协议访问或控制物联网设备,获取能够卖掉的数据或是搞点破坏。

总结

保护物联网部署的关键是知识:了解物联网中实际部署的内容、这些设备在网络上的作用以及本地设备与其依赖的云系统之间的数据流。

*参考来源:DARKReading,Freddy编译整理,转载请注明来自 FreeBuf.COM。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Debian社区

2017年的Linux内核防护依然脆弱

“Linux 内核 “社区” 对待安全的优先级并不高,虽然经历了 2000 年代的多次大规模漏洞利用事件但并没有让 Linus Torvalds 本人改变 “A...

9710
来自专栏华章科技

微软打脸,Windows 7 再次成为微软的头号桌面操作系统

导读:近日,微软裁撤Windows部门,对公司进行大规模重组。此外,微软官方表示 Windows 10 用户一直在增长,该公司的统计数据显示,该操作系统在 2 ...

10020
来自专栏罗超频道

关于Cookie:你必须知道的事

罗超为纽约时报中文网撰稿 2013年2月26日发表于纽约时报中文网首页 在今年的中央电视台315晚会中, 对用户网络隐私权的侵犯行为成为被曝光的对象之一,央...

34050
来自专栏黑白安全

社会工程学

社交工程是用于通过人类交互完成的广泛恶意活动的术语。它使用心理操纵来诱骗用户犯下安全错误或泄露敏感信息。

77620
来自专栏葡萄城控件技术团队

如何用活字格定制监狱管理系统

监狱是国家司法机关的重要组成部分,监狱管理的信息化对整个监区罪犯管理、执法管理、监控管理等核心功能具有非常高的要求。通过活字格Web应用平台定制的监狱管理系统,...

15020
来自专栏云基础安全

Web应用安全:腾讯云网站管家WAF

腾讯云网站管家WAF(Web Application Firewall,Web应用防火墙),是一款专业为用户网站及Web应用打造的基于AI的一站式Web业务运营...

85200
来自专栏FreeBuf

XcodeGhost S | 变种带来的又一波影响

一个月之前,苹果发布公告称iOS设备被XcodeGhost恶意软件感染,并迅速将受影响应用下架并更新版本。 ? 日前,FireEye安全研究员通过持续监控用户网...

21070
来自专栏黑白安全

将“窃取隐私的贼”扼杀在襁褓中

导读:互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公...

9540
来自专栏云计算D1net

云计算成本管理的6个技巧

为了避免每月云计算支出超出组织的预期,组织可以使用容器,容量预购和更多的云成本管理策略来控制失控的云支出。 在云中运营组织的业务与在本地部署数据中心运行相比是...

360110
来自专栏云计算D1net

微软云计算服务Azure全球大范围宕机

北京时间8月19日消息,据彭博社报道,微软云计算服务Azure的主要组件周一发生全球大范围宕机。 微软表示,Azure服务目前处于中断状态,原因是位于全球多个数...

391100

扫码关注云+社区

领取腾讯云代金券