事件分析

盡管去年內(nèi)，《綠盟科技 2019 物聯(lián)網(wǎng)安全年報》[6]建議廠商和用戶避免在互聯(lián)網(wǎng)
中暴露 UPnP 服務(wù)， 但根據(jù)綠盟威脅情報中心顯示，2020 年全球仍有近數(shù)百萬臺開啟了 UPnP 服務(wù)的設(shè)備暴露在互聯(lián)網(wǎng)中。 研究人員認為，一旦相關(guān)漏洞被披露，僵尸網(wǎng)絡(luò)可能很快就會加以利用并發(fā)起反射攻擊，這種新型反射 攻擊，將給防護帶來一定的困難。誠然 UPnP 服務(wù)對方便設(shè)備間互聯(lián)互通
有極大幫助，但其過于龐大的協(xié)議簇，從設(shè)計到實現(xiàn)均可能 存在各種缺陷，防止 UPnP 服務(wù)被黑客利用仍需 OCF、設(shè)備廠商、運營商和用戶多方共同努力。### 　BadPower ：讓快速充電器
變成手機電腦殺手#### 　事件回顧
2020 年 7月 15 日，騰訊安全玄武實驗室發(fā)布了一項命名為“BadPower”的重大安全問題研究報告 [9]。 報告指出，市面上現(xiàn)行大量快充終端設(shè)備存在安全問題，攻擊者可通過改寫快充設(shè)備的固件控制充電行 為，造成被充電設(shè)備元器件燒毀，造成嚴(yán)重的后果。據(jù)保守估計，受“BadPower”影響的終端設(shè)備數(shù) 量可能數(shù)以億計。
具體的，騰訊玄武安全實驗室對市面上 35 款支持快充技術(shù)的充電器、充電寶等產(chǎn)品進行了測試， 發(fā)現(xiàn)其中 18 款存在安全問題。攻擊者可利用特制設(shè)備、手機、筆記本等數(shù)字終端來入侵快充設(shè)備的固件， 控制充電行為，使其向受電設(shè)備供過高的功率，從而導(dǎo)致受電設(shè)備的元器件擊穿、燒毀，還可能進一 步給受電設(shè)備所在物理環(huán)境造成安全風(fēng)險。攻擊方式包括物理接觸和非物理接觸，有相當(dāng)一部分攻擊可 以通過遠程方式完成。在玄武實驗室發(fā)現(xiàn)的 18 款存在 BadPower 問題的設(shè)備里，有 11 款設(shè)備可以通 過數(shù)碼終端進行無物理接觸的攻擊。騰訊安全玄武實驗室已于 3 月 27 日將“BadPower”問題上報給 國家主管機構(gòu) CNVD，同時也在積極和相關(guān)廠商一起推動行業(yè)采取積極措施消除 BadPower 問題。小米 和 Anker 也對這次研究工作做出了貢獻，另在未來上市的快充產(chǎn)品中也會加入安全檢測環(huán)節(jié)。

原理簡述

正常情況下，對不支持快充的受電設(shè)備，快充設(shè)備會默認對其供 5V的供電電壓。但通過改寫快 充設(shè)備內(nèi)控制供電行為的代碼，就可以讓快充設(shè)備對這些僅能接受 5V電壓的受電設(shè)備輸入最高 20V 電 壓 ,從而導(dǎo)致功率過載。即使對支持快充的受電設(shè)備，被控制后的惡意充電設(shè)備也可以在電力協(xié)商中告
訴受電設(shè)備自己將會供 5V電壓，但實際卻供 20V 電壓。所有存在 BadPower 問題的產(chǎn)品都可通過特制硬件進行攻擊，其中有相當(dāng)一部分也可通過支持快充協(xié)議的手機、平板電腦、筆記本電腦等普通終 端進行攻擊。
通過特制硬件發(fā)起的 BadPower 攻擊過程如下：

攻擊者用偽裝成手機的特制設(shè)備連接充電器的充電口，入侵充電器內(nèi)部固件。

當(dāng)用戶使用被入侵的充電器給其它設(shè)備充電時，充電器對受電設(shè)備進行功率過載攻擊。
通過普通終端進行的 BadPower 攻擊過程如下：

攻擊者通過某種方式入侵用戶的手機、筆記本電腦等終端設(shè)備，在其中植入具有 BadPower 攻 擊能力的惡意程序，使該終端設(shè)備成為 BadPower 的攻擊代理。

當(dāng)用戶將終端設(shè)備連接充電器時，終端設(shè)備里的惡意程序入侵充電器內(nèi)部固件。

當(dāng)用戶再次使用被入侵的充電器給設(shè)備充電時，充電器會對被受電設(shè)備進行功率過載攻擊。

事件分析

BadPower 不是傳統(tǒng)網(wǎng)絡(luò)安全問題，雖然不會導(dǎo)致數(shù)據(jù)隱私泄露，但會給用戶造成實實在在的財產(chǎn) 損失，甚至更糟糕的情況。BadPower 再次醒我們，隨著信息技術(shù)的發(fā)展，數(shù)字世界和物理世界之間 的界限正變得越來越模糊。之前我們知道工業(yè)控制系統(tǒng)、車聯(lián)網(wǎng)系統(tǒng)的漏洞和威脅可能會影響物理世界， 但這些似乎距離大多數(shù)人比較遙遠，但是其實像充電器這種人人都有、不起眼的小東西也可能打破數(shù)字 世界和物理世界之間的結(jié)界。

特斯拉廢棄零件泄露隱私，誰為用戶隱私買單？

事件回顧

在使用特斯拉車載信息娛樂服務(wù)前，用戶必須輸入詳細的個人信息，存儲這些信息的媒體控制單元 或許正在成為用戶隱私數(shù)據(jù)泄露的源頭。2020 年 6 月，國外黑客發(fā)現(xiàn)，從廢棄的特斯拉媒體控制單元 （MCU）中，能夠獲取到之前設(shè)備所有者的隱私信息。

原理簡述

據(jù)外媒報道，特斯拉服務(wù)中心清除廢舊零部件之中的數(shù)據(jù)時，技術(shù)人員被告知要在零部件報廢之前進行物理損毀。特斯拉官方程序的要求是，在將拆下的媒體控制單元扔進垃圾桶之前，工作人員需要確 認接口是否被徹底毀壞。但是，用錘子敲擊后的零部件外殼被損壞，內(nèi)部的數(shù)據(jù)卻未被破壞，依然能夠 在線上出售。
國外黑客格林從購物網(wǎng)站 eBay 上購買了一個廢棄的媒體控制單元，這些零件在網(wǎng)上售賣的價格從 150 美元、200 美元到 300 美元、500 多美元不等。盡管這些廢棄的零件已經(jīng)被特斯拉技術(shù)人員手工銷 毀，但它仍然留有大量用戶隱私數(shù)據(jù)，包括手機通訊錄、通話記錄、日歷項目、WiFi密碼、家庭住址、 導(dǎo)航去過的地點等。

事件分析

隨著汽車智能化、網(wǎng)聯(lián)化技術(shù)快速深入發(fā)展，汽車內(nèi)車機、控制器甚至是車外未來的基礎(chǔ)設(shè)施以及 云端內(nèi)個人隱私的數(shù)據(jù)會日益龐大，數(shù)據(jù)種類也會越來越多。這些數(shù)據(jù)帶給我們安全駕駛以及出行便利 的同時，隱私泄露的風(fēng)險也在加大。除了軟硬件、云端方面的技術(shù)防護手段之外，隱私防護也需要標(biāo)準(zhǔn)、 法律、法規(guī)相配合，需要多方協(xié)同努力、長期研究。

智能門鎖暗藏的物聯(lián)網(wǎng)安全危機

事件回顧

在物聯(lián)網(wǎng)時代，智能門鎖的普及率已經(jīng)越來越高了，但智能門鎖真的的安全嗎？ U-Tec UltraLoq 是 眾籌平臺 Indiegogo 上的一款熱門產(chǎn)品，現(xiàn)已在亞馬遜等電商平臺零售。這款鎖擁有一些高級功能， 包括指紋讀取器、反窺視觸摸屏，以及通過藍牙和 WiFi的 APP 端控制等。2020 年 8 月，Tripwire 的 研究人員 Craig Young 發(fā)表了一篇博客，披露了其存在錯誤配置和其他安全問題，使得攻擊者僅用一個 MAC地址就可以竊取解鎖令牌 [10][11]。

原理簡述

Young 首先在物聯(lián)網(wǎng)搜索引擎 Shodan 中搜索與 U-Tec 和供應(yīng)商使用 MQTT相關(guān)的詞條，MQTT是 物聯(lián)網(wǎng)設(shè)備中用于在節(jié)點之間發(fā)布 -訂閱、交換數(shù)據(jù)的協(xié)議。例如，智能恒溫器的傳感器可以傳輸與特 定房間中的供熱有關(guān)的數(shù)據(jù)，而智能鎖可以使用 MQTT記錄用戶及其訪問活動，研究員發(fā)現(xiàn) UltraLoq 智能鎖使用郵箱和 mac 地址連接 MQTT Brokers 如圖 1.1 。

圖 1.1　使用郵箱和 mac 地址連接 MQTT Brokers
研究人員連接到智能鎖 MQTT服務(wù)端，在了一個包含 UltraLoq Amazon-hosted 代理的主題名稱 發(fā)現(xiàn)了客戶 ID，于是他購買了一個相關(guān)型號的 UltraLoq 智能鎖，并監(jiān)聽其通過 MQTT發(fā)送的消息。 Young 發(fā)現(xiàn)了一個“在解鎖過程中重復(fù)的消息流”，并且利用腳本重放該數(shù)據(jù)包，結(jié)果發(fā)現(xiàn)只需要知道
該設(shè)備的 MAC地址能打開智能鎖，事實上，設(shè)備的 MAC地址在相關(guān) MQTT主題中就可以輕松獲取到。
2019 年 11 月 10 日，Craig Young 向 U-Tec 告知他們的云服務(wù)給用戶帶來巨大安全風(fēng)險，U-Tec 隨 后做了相關(guān)的補救措施，包括：已關(guān)閉端口 1883，開啟端口 8883 是經(jīng)過身份驗證的端口、已關(guān)閉未 經(jīng)身份驗證的用戶訪問等，但是這些措施實際上并沒有完全解決問題。Young 再次發(fā)文表示，此次事件 的主要問題是 U-Tec 專注于用戶身份驗證，但未能實現(xiàn)用戶級訪問控制，并且演示了匿名賬戶都可以與 任何其他用戶的設(shè)備連接并交互，如圖 1.2 。
圖 1.2　使用 HTTP Canary 嗅探賬號和密碼
幾天后，U-Tec 宣布已經(jīng)實現(xiàn)用戶隔離，而 Craig Young 也發(fā)現(xiàn)攻擊者確實不能在 MQTT的主題之 間發(fā)布消息了，但其實并沒有完全解決該款智能門鎖的安全問題。在 2019 年 6 月 Pen Test Partners 報道稱，在 UltraLoq 智能門鎖中曾發(fā)現(xiàn)大量嚴(yán)重安全問題，涉案及 API、BLE 密鑰、存儲等多個層面的漏 洞 [12]。

事件分析

除了到的智能門鎖，其實每天都有大量沒有進行安全測試的物聯(lián)網(wǎng)設(shè)備上市或上線，消費者必須 意識到這個逐漸累積的風(fēng)險。即使是門鎖這樣的關(guān)鍵安全系統(tǒng)，滿足的網(wǎng)絡(luò)安全規(guī)范和要求也很少，相 關(guān)安全監(jiān)管更少。正如我們在 Mirai 和其他物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中所看到的那樣，互聯(lián)網(wǎng)上的各類智能設(shè)備， 例如智能燈泡、智能冰箱、智能音箱、攝像頭等，在發(fā)生故障或被大規(guī)模劫持時也會造成嚴(yán)重破壞，并 且目前的威脅或許只是冰山一角。

藍牙冒充攻擊（BIAS），無線安全不可忽視

事件回顧

研究人員 Daniele Antonioli 于 2020 年 5 月披露了一個藍牙協(xié)議棧漏洞，攻擊者可以利用這個漏洞 偽造并欺騙遠程配對的藍牙設(shè)備，其危害性影響數(shù)十億藍牙設(shè)備。
藍牙協(xié)議被廣泛應(yīng)用于數(shù)十億臺設(shè)備中，其中包含了多種身份驗證過程。兩個藍牙設(shè)備如果要建立 加密連接，則必須使用密鑰互相配對。
在兩個藍牙設(shè)備成功配對之后，下一次
它們就能夠不經(jīng)過配對過程而重新連接。
BIAS攻擊就是利用了這個特性。

參考資料

綠盟 2020物聯(lián)網(wǎng)安全年報

友情鏈接

GB-T 25056-2018 信息安全技術(shù) 證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范

總結(jié)

以上是生活随笔為你收集整理的蓝牙冒充攻击（BIAS），无线安全不可忽视的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。