机械锁可能是我们日常生活中最基本、最形象、最熟悉的安全屏障。人们锁上门,希望这些锁能将坏人拒之门外,但安保行业有句老话:“保护君子,不保护小人”。在物联网“智能锁”时代,情况变得更糟,因为开锁的工具不再是钩针,而是脚本和嗅探器。近日,渗透测试专家CraigYoung披露了某品牌智能门锁漏洞背后隐藏的安全威胁:攻击者可以物理定位并远程控制连接到智能门锁供应商云基础设施的任何一把锁。安全大牛编辑整理如下:虽然本文介绍的漏洞已经修复,但是本次渗透测试暴露了整个智能门锁行业乃至物联网领域都存在的隐私安全风险。本文的目的是提高人们对物联网设备和驱动物联网的集中式云计算的安全问题和威胁的认识和关注。CraigYoung选择了市场上最热门的智能门锁之一,U-Tec的UltraLoq智能门锁,它连接到供应商的云基础设施。已发现的安全漏洞,如服务配置错误,已于2019年11月上旬通知U-Tec。本次研究的重点是集中式云基础架构提供数据和控制所带来的风险。很多物联网应用场景,比如智慧城市、无人驾驶汽车等,都可能存在类似的风险。U-TecUltraLoq最初在众筹平台Indiegogo上大受欢迎,现在通过包括亚马逊、家得宝和沃尔玛在内的主要零售商直接销售给消费者。这些锁具有一些高级功能,包括指纹读取器、防窥触摸屏以及通过蓝牙和WiFi进行的应用程序端控制。这些联网功能在带来极大便利的同时,也让一些用户对安全性感到不安。为了打消用户疑虑,U-Tec网站上有一篇文章向用户保证:“云服务器安全性强,用户数据经过MD5算法加密。”U–Tec智能门锁的渗透测试从Shodan开始,特别是Shodan的MQTT数据集。首先,我们简单介绍一下MQTT的背景信息。MQTT是一种轻量级的发布-订阅协议,其中消息代理负责协调连接节点之间的本地数据交换。MQTT的应用场景很多,比如空调系统。想象一个HVAC系统,它包括多个温度传感器(恒温器)、可以数字控制的风扇,以及一个根据室温自动打开/关闭风扇的监控应用程序。这些传感器和执行器是连接到MQTT代理的低功耗物联网组件,传感器发布数据,监控应用程序订阅此数据,并向执行器发送命令。来自传感器的数据使用描述性和分层主题名称发布,例如101房间的恒温器将使用“buildingx/temperature/floor1/room101”格式发布数据。监控应用程序将订阅“BuildingX/Temperature/#”。#作为通配符,允许应用程序接收来自所有房间的温度输入。当部署MQTT时没有适当的身份验证和授权方案,就会存在MQTT被滥用的风险,任何连接到代理的人都可以获得敏感数据,甚至能够控制动态系统。获得对MQTT代理的访问权限的未授权用户可以轻松猜测主题名称并使用#订阅各种主题以获取传输代理的数据。通过公共MQTT数据泄露的个人信息Shodan的资深人士一直在使用这些通配符查询来收集公开在公共互联网上的MQTT代理的数据。尽管Shodan不存储扫描的个人消息,但它能够从83,000多个代理中检索主题名称。CraigYoung测试了各种MQTT搜索词以查看有多少命中。一台服务器引起了CraigYoung的注意,因为它有大量包含MQTT主题名称的页面,这些名称在搜索中反复出现,相关信息包括“门锁”和免费电子邮件提供商,例如“gmail.com”。图1:亚马逊托管的代理和主题名称列表这是亚马逊托管的代理和主题名称列表,包括个人电子邮件地址和其他数据,似乎与智能门锁有关。CraigYoung使用Linux命令行工具(例如mosquitto_sub)查询服务器,立即被来自世界各地的个人信息淹没。这些数据包括与智能门锁关联的用户电子邮件和IP地址,以及带时间戳的智能门锁打开和关闭记录等。下一步是通过购买ULTRALOQ智能门锁来测试问题的范围。与大多数智能门锁一样,ULTRALOQ智能门锁也是电池供电的,并与连接到WiFi的桥接设备保持蓝牙配对。拿到锁后,我将它与WiFi网桥配对并监听它通过MQTT发送的消息。图2:确认服务器提供实时客户数据(已编辑)经过几次锁定/解锁循环后,我确认了解锁过程中的重复消息流。然后,我准备了一个Python脚本来重放这些消息,并确认这种方法可以破解锁。CraigYoung发现,攻击者只需要知道设备的MAC地址,就可以轻松窃取“开锁令牌”,批量或定点解锁智能门锁。与MQTT数据关联的电子邮件地址、本地MAC地址和公共IP地址等数据可用于地理定位,并且足够精确以识别个人。该设备还会将MAC地址广播给无线电范围内的任何人。这意味着:匿名攻击者还可以收集任何活跃的U-Tec客户的身份详细信息,包括他们的电子邮件地址、IP地址和无线MAC地址。这足以个人识别用户及其家庭住址。如果此人曾经使用U-Tec应用程序远程解锁他们的门,攻击者也将获得他们的令牌,可以随时解锁门。同样,攻击者可以通过发送欺骗性消息来阻止智能锁的所有者解锁,从而进行破坏性攻击。11月10日,CraigYoung告知U-Tec,他们的云服务给用户带来了巨大的安全隐患,U-Tec在10小时内做出回应,指出U-Tec智能门锁的设备端需要令牌授权,未经授权的用户将无法开门。显然,U-Tec仍未意识到真正的威胁,因此CraigYoung向U-Tec提供了Shodan的屏幕截图,包括泄露的MQTT主题名称列表,其中包含活跃客户的电子邮件地址。这一次,U-Tec在一天之内回应确认威胁,并表示已经采取了补救措施:1883端口已经关闭,8883端口是经过认证的端口。未经身份验证的用户访问已关闭。在订阅和发送功能中添加了一些规则,现在未经身份验证的用户无法订阅数据。对于电子邮件问题,他们将在下一次应用程序升级中修复它。不幸的是,上述措施都没有真正解决问题。这里的主要问题是U-Tec专注于用户认证,但没有实现用户级的访问控制。我演示了任何免费/匿名帐户都可以连接到任何智能门锁用户的设备并与之交互。它所要做的只是嗅探应用程序的MQTT流量以获取设备特定的用户名和MD5摘要作为密码。图3:使用HTTPCanary嗅探帐户密码。U-Tec的工程师沉默了几天,然后宣布已经实现了用户隔离。CraigYoung发现攻击者无法再在账户之间发布消息,这次渗透测试中发现的问题似乎已经解决,但这可能只是个开始。就在几个月前,PenTestPartners报告称,ULTRALOQ智能门锁存在大量严重安全问题,涉及API、BLEkey、存储等多个层面的漏洞。智能门锁只是冰山一角:MQTT和物联网安全风险自从与U-Tec合作以来,CraigYoung通过研究暴露的MQTT系统发现了无数工业物联网网络风险,包括车辆跟踪、出租车调度、彩票亭、楼宇管理系统等。其中许多系统由为客户提供服务的设备制造商运营。在一个案例中,一家欧洲设备供应商负责监控他们出售给压缩天然气(CNG)加气站的产品。在另一个案例中,一家教育服务提供商的网络泄露了有关个别学生何时到达和离开小学的详细信息。消费者必须意识到云连接物联网设备每天在没有(网络)安全测试的情况下投放市场的累积风险。我们要求高速公路上的车辆符合安全标准并进行排放测试以确保安全的环境,但信息高速公路上的互联网连接设备完全不受法律约束。即使是门锁等关键安全系统,对产品网络安全的规范和要求也很少,安全监管更是少之又少。正如我们在Mirai和其他物联网僵尸网络中看到的那样,互联网上的非关键设备,如智能灯泡、智能冰箱、智能扬声器、相机等,在发生故障或被大型网络劫持时也会造成严重破坏规模。Mirai和其他僵尸网络已经“招募”了大量“肉鸡”设备,然后它们可以用来扰乱社会和敲诈企业。这些僵尸网络已证明自己能够产生数量惊人的DDoS攻击流量,但与黑客攻击和控制主要供应商的物联网云相比,当前的威胁只是冰山一角。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
