機(jī)械鎖也許是我們?nèi)粘I钪凶罡?、最具象、最熟悉的安全屏障。人們鎖上門,期望這些鎖能把壞人關(guān)在門外,但安全行業(yè)有一句老話:“防君子不妨小人”。在物聯(lián)網(wǎng)”智能鎖”時(shí)代,事情變得更加糟糕,因?yàn)殚_鎖工具不再是鉤針,而是腳本和嗅探器。
近日,滲透測試專家Craig Young披露了某品牌智能門鎖漏洞背后隱藏著的安全威脅:攻擊者可以物理定位并遠(yuǎn)程控制連接到智能門鎖供應(yīng)商云基礎(chǔ)結(jié)構(gòu)的任何鎖。安全牛編輯整理如下:
雖然本文中介紹的漏洞已經(jīng)被修復(fù),但是本次滲透測試暴露了整個(gè)智能門鎖行業(yè),乃至物聯(lián)網(wǎng)領(lǐng)域普遍存在的隱私和安全風(fēng)險(xiǎn)。本文的目的是讓人們了解并重視聯(lián)網(wǎng)設(shè)備以及驅(qū)動(dòng)物聯(lián)網(wǎng)的集中式云計(jì)算的安全問題和威脅。
Craig Young選擇了市場上一款熱門的智能門鎖——U-Tec生產(chǎn)的UltraLoq智能門鎖,該鎖連接到供應(yīng)商的 云基礎(chǔ)架構(gòu)。已經(jīng)發(fā)現(xiàn)的安全漏洞,例如服務(wù)配置錯(cuò)誤已經(jīng)于2019 年 11 月初通知了 U-Tec,本次研究的焦點(diǎn)是集中化的云基礎(chǔ)設(shè)施提供數(shù)據(jù)和控制所帶來的風(fēng)險(xiǎn),很多物聯(lián)網(wǎng)應(yīng)用場景,例如智慧城市和無人駕駛汽車等都可能存在類似的風(fēng)險(xiǎn)。
U-Tec UltraLoq 一開始是眾籌平臺(tái)Indiegogo 上的一款熱門產(chǎn)品,現(xiàn)已通過亞馬遜、家得寶和沃爾瑪?shù)戎饕闶凵讨苯愉N售給消費(fèi)者。這些鎖擁有一些高級(jí)功能,包括指紋讀取器、反窺視觸摸屏,以及通過藍(lán)牙和WiFi的APP端控制。這些聯(lián)網(wǎng)功能帶來極大便利的同時(shí),也讓一些用戶對安全性感到不安。為了打消用戶的疑慮,U-Tec的網(wǎng)站有一篇文章向用戶保證:“云服務(wù)器具有很強(qiáng)的安全性,用戶的數(shù)據(jù)”已被MD5算法加密”。
對 U – Tec智能門鎖的滲透測試從Shodan開始,具體來說是Shodan的 MQTT 數(shù)據(jù)集。
首先,我們簡要介紹一下MQTT的背景信息。
MQTT 是一種輕量級(jí)的發(fā)布-訂閱協(xié)議,其中的消息代理負(fù)責(zé)協(xié)調(diào)連接節(jié)點(diǎn)之間的局部數(shù)據(jù)交換。MQTT的應(yīng)用場景很多,例如空調(diào)系統(tǒng)。請?jiān)O(shè)想一個(gè)包含多個(gè)溫度傳感器(恒溫器),可以通過數(shù)字方式控制風(fēng)扇的 HVAC 系統(tǒng),以及根據(jù)室溫自動(dòng)打開/關(guān)閉風(fēng)扇的監(jiān)控應(yīng)用程序。這些傳感器和執(zhí)行器是連接到 MQTT 代理的低功耗 IoT 組件,傳感器發(fā)布數(shù)據(jù),監(jiān)控應(yīng)用訂閱此數(shù)據(jù),并發(fā)送命令給執(zhí)行器。
傳感器的數(shù)據(jù)使用描述性和分層主題名稱發(fā)布,例如101室的恒溫器將使用”x號(hào)樓/溫度/樓層1/房間101″的格式發(fā)布數(shù)據(jù)。監(jiān)控應(yīng)用將訂閱 “建筑 X/溫度/#”。# 充當(dāng)通配符,允許應(yīng)用接收來自所有房間的溫度輸入。
在沒有適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)方案的情況下部署 MQTT 時(shí),會(huì)出現(xiàn) MQTT被濫用 的風(fēng)險(xiǎn),任何連接到代理的人都可以獲取敏感數(shù)據(jù),甚至能夠控制動(dòng)力學(xué)系統(tǒng)。獲得 MQTT 代理訪問權(quán)限的未授權(quán)用戶可以輕松地猜測主題名稱并使用 # 訂閱各種主題以獲取傳輸代理的數(shù)據(jù)。
通過公共 MQTT 數(shù)據(jù)泄露的個(gè)人信息
Shodan 的老玩家們一直在使用這些通配符查詢收集暴露在公共互聯(lián)網(wǎng)上的 MQTT 代理的數(shù)據(jù)。盡管 Shodan 不存儲(chǔ)掃描的個(gè)人消息,但確能檢索 83,000 多個(gè)代理中的主題名稱。Craig Young測試了各種MQTT搜索詞,看看多少能夠命中。有一個(gè)服務(wù)器引起了Craig Young的注意,因?yàn)樗邪琈QTT主題名稱的大量頁面,反復(fù)出現(xiàn)在搜索中,關(guān)聯(lián)信息包括”門鎖”和免費(fèi)電子郵件提供商,如”gmail.com”。
這是一個(gè)亞馬遜托管的代理與主題名稱列表,包括個(gè)人電子郵件地址和其他數(shù)據(jù),看上去似乎與智能門鎖有關(guān)。Craig Young使用 Linux 命令行工具(例如 mosquitto_sub)查詢該服務(wù)器,結(jié)果立刻被來自世界各地的大量個(gè)人信息淹沒了。這些數(shù)據(jù)包括與智能門鎖關(guān)聯(lián)的用戶電子郵件和 IP 地址,以及智能門鎖鎖打開和關(guān)閉的時(shí)間戳記錄等。
下一步是通過購買 一個(gè)ULTRALOQ 智能門鎖進(jìn)行測試,明確問題的范圍。
與大多數(shù)智能門鎖類似,ULTRALOQ智能門鎖也是電池供電,與連接到 WiFi 的網(wǎng)橋設(shè)備保持藍(lán)牙配對。拿到該鎖后,我將它與WiFi橋配對,并監(jiān)聽其通過MQTT發(fā)送的消息。
圖 2:確認(rèn)服務(wù)器提供實(shí)時(shí)客戶數(shù)據(jù)(已脫敏)
經(jīng)過幾個(gè)鎖定/解鎖周期后,我確認(rèn)了解鎖過程中重復(fù)的消息流。然后,我準(zhǔn)備了一個(gè) Python 腳本來重放這些消息,并確認(rèn)這種方法能夠打鎖。
Craig Young發(fā)現(xiàn):攻擊者只需知道設(shè)備MAC地址就可以很容易地竊取”解鎖令牌”,批量或定點(diǎn)解鎖智能門鎖。
MQTT 數(shù)據(jù)關(guān)聯(lián)的電子郵件地址、本地 MAC 地址和公共 IP 地址等數(shù)據(jù)可用于地理位置定位,足以精確識(shí)別個(gè)人。該設(shè)備還向無線電范圍內(nèi)的任何人廣播 MAC 地址。
這意味著:
匿名攻擊者還可以收集任何活躍U-Tec 客戶的詳細(xì)身份信息,包括其電子郵件地址、IP 地址和無線 MAC 地址。
這足以識(shí)別用戶個(gè)人身份及其家庭地址。
如果此人曾經(jīng)使用 U-Tec 應(yīng)用程序遠(yuǎn)程解鎖其門,攻擊者還將獲取其令牌,可在任意時(shí)間解開門鎖。
同樣,攻擊者可以實(shí)施破壞性攻擊,通過發(fā)送欺騙信息來阻止智能鎖的主人解鎖。
11 月 10 日,Craig Young通知U-Tec 他們的云服務(wù)給用戶帶來巨大安全風(fēng)險(xiǎn),U-Tec在10小時(shí)內(nèi)就做出回復(fù),指出:
U-Tec智能門鎖的設(shè)備端需要令牌授權(quán),未經(jīng)授權(quán)的用戶將無法開門。
顯然,U-Tec依然沒有意識(shí)到真正的威脅,Craig Young于是向U-Tec提供了Shodan的截圖,包括已泄露的,包含活躍客戶電子郵件地址的MQTT主題名稱列表。這一次,U-Tec 在一天內(nèi)做出回應(yīng)確認(rèn)該威脅,并表示已經(jīng)采取補(bǔ)救措施:
已關(guān)閉端口 1883,端口 8883 是經(jīng)過身份驗(yàn)證的端口。
已關(guān)閉未經(jīng)身份驗(yàn)證的用戶訪問。
已經(jīng)在訂閱和傳遞功能中添加了一些規(guī)則,現(xiàn)在未經(jīng)過身份驗(yàn)證的用戶無法訂閱數(shù)據(jù)。
對于電子郵件問題,他們將在下一個(gè)應(yīng)用程序升級(jí)時(shí)修復(fù)。
遺憾的是,以上這些措施實(shí)際上并沒有解決問題。這里的主要問題是,U-Tec專注于用戶身份驗(yàn)證,但未能實(shí)現(xiàn)用戶級(jí)訪問控制。我演示了任何免費(fèi)/匿名帳戶都可以連接任何智能門鎖用戶的設(shè)備并與之交互。這一切僅需嗅探應(yīng)用程序的 MQTT 流量,以獲取設(shè)備特定的用戶名和作為密碼的MD5 摘要。
圖 3:使用 HTTP Canary嗅探帳戶密碼。
U-Tec 的工程師沉默了幾天,但隨后宣布用戶隔離已經(jīng)實(shí)現(xiàn)。Craig Young發(fā)現(xiàn),攻擊者確實(shí)不能再在帳戶之間發(fā)布消息了,本次滲透測試發(fā)現(xiàn)的問題似乎已經(jīng)解決,但這也許僅僅是開始。僅僅數(shù)月前,Pen Test Partners曾報(bào)道在ULTRALOQ智能門鎖中曾發(fā)現(xiàn)大量嚴(yán)重安全問題,涉案及API、BLE密鑰、存儲(chǔ)等多個(gè)層面的漏洞。
智能門鎖只是冰山一角:MQTT 和物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)
在與 U-Tec 合作以來,Craig Young通過研究暴露的 MQTT 系統(tǒng),發(fā)現(xiàn)了無數(shù)的工業(yè)物聯(lián)網(wǎng)網(wǎng)絡(luò)風(fēng)險(xiǎn),包括車輛跟蹤、出租車調(diào)度、彩票亭、建筑管理系統(tǒng)等。其中許多系統(tǒng)由向客戶提供服務(wù)的設(shè)備制造商操作。在一個(gè)案例中,一家歐洲設(shè)備供應(yīng)商,負(fù)責(zé)監(jiān)控他們銷售給壓縮天然氣 (CNG) 加油站的產(chǎn)品。在另一個(gè)案例中,一家教育服務(wù)提供商的網(wǎng)絡(luò)泄露了有關(guān)個(gè)別學(xué)生何時(shí)到達(dá)和離開小學(xué)的詳細(xì)信息。
每天,都有大量未經(jīng)(網(wǎng)絡(luò))安全測試的接入云端的物聯(lián)網(wǎng)設(shè)備山市,消費(fèi)者必須意識(shí)到這個(gè)逐漸累積的風(fēng)險(xiǎn)。我們要求高速公路上的車輛遵守安全標(biāo)準(zhǔn),并經(jīng)過排放測試,以確保環(huán)境安全,但信息高速公路上的互聯(lián)網(wǎng)設(shè)備卻完全是法外之地。
即使是門鎖這樣的關(guān)鍵安全系統(tǒng),對產(chǎn)品網(wǎng)絡(luò)安全的規(guī)范和要求也很少,安全監(jiān)督更少。正如我們在Mirai 和其他 IoT僵尸網(wǎng)絡(luò)中所看到的那樣,互聯(lián)網(wǎng)上的非關(guān)鍵設(shè)備,例如智能燈泡、智能冰箱、智能音箱、攝像頭等,在發(fā)生故障或被大規(guī)模劫持時(shí)也會(huì)造成嚴(yán)重破壞。Mirai 和其他僵尸網(wǎng)絡(luò)已經(jīng)“招募”了大量“肉雞”設(shè)備,然后他們可以使用這些設(shè)備擾亂社會(huì)和敲詐企業(yè)。這些僵尸網(wǎng)絡(luò)已經(jīng)證明自己能夠產(chǎn)生令人難以置信的DDoS攻擊流量,但與入侵并控制主流廠商的物聯(lián)網(wǎng)云端相比,目前的威脅也僅僅是冰山一角。