即插即用:未配置物联网带来的威胁
“智能”技术的发展已经见证了我们家庭和办公室中所有可以想象的设备都通过某种形式的连接“增强”。 Pen Test Partners 的合伙人 Ken Munro 说,虽然这为某些人提供了额外的功能 ,对于其他人来说,这些智能增强功能是多余的。
毕竟,如果您乐于手动使用控件,为什么还要无线连接洗衣机呢?不可避免地,这意味着物联网 (IoT) 设备在未经连接的情况下被购买和使用,这造成了一个真正的问题。
未配置的物联网设备仍然有效地充当未加密的开放无线接入点,使它们容易受到攻击。这个问题似乎没有引起制造商和监管机构的注意。尽管发布了许多咨询指南,但没有一个涉及这个问题,包括我们自己的消费者物联网安全行为准则。
攻击向量
连接到未配置的物联网设备是微不足道的。攻击者可以使用诸如 wigle.net 之类的地理定位站点来识别设备的 SSID。设备易于识别,例如,水壶使用 SSID:iketttle、热水浴缸:BWGSPa、Google Chromecast:Chromecast、LG 空调:LGE_AC 和 EcoWater 智能软水器:H2O-6c。然后他们需要做的就是下载应用程序,驱动器经过该位置,连接到无线接入点,然后他们就可以控制了。
使用蓝牙连接的设备可能比使用 Wi-Fi 的设备面临更大的风险。这是因为此类设备通常没有对其连接的移动设备进行身份验证或授权的流程,从而使范围内的任何人都可以连接。
一旦受到攻击,这些设备就会以各种方式被滥用。例如,它们可用于在网络上创建后门。我们甚至在企业环境中看到了这种情况,其中由 AV 工程师安装的未配置的截屏器(因此不在安全部门的雷达上)桥接了有线和无线公司网络。
还要考虑到,这些设备中的许多设备在供应链中一直处于停滞状态,在发货前被困在某个仓库中,这意味着它们通常会在配置后寻求更新软件。未配置且运行过时的软件,它们可被利用,并且是流氓固件的主要目标。
恶意固件上传后,可用于修改设备,例如可能会看到它用于窃听。无法更新设备也是其他长期物联网设备的问题,从智能灯泡到恒温器,这些设备很可能保持原位 很长一段时间,用户可能懒得更新。
解决问题
有一些设计解决方案可以解决未配置物联网的问题。一种选择是在设备上物理安装一个按钮,然后用户必须使用该按钮进行身份验证,无论是用于无线连接还是蓝牙配对。
这样可以确保设备只能在靠近时手动连接到用户设备上的应用程序。除非密钥在传输过程中被拦截,否则这会大大降低泄露的可能性,但是,安全性通常充其量只是事后考虑,很少有设备具有这样的物理控制机制。
一个更具成本效益的解决方案是强制所有物联网设备在默认情况下关闭其射频无线电。这听起来可能与物联网的观点背道而驰,但我相信我们需要控制我们的技术,而不是相反。
产品以智能方式发货的事实并不意味着用户会按预期使用它。必须让消费者选择他们希望如何使用该设备。否则,我们的智能家居将面临通过 Wi-Fi 受到本地攻击的风险。
作者是 Ken Munro,Pen Test Partners 合伙人。
物联网技术