網(wǎng)絡(luò)應(yīng)用程序中的跨站點(diǎn)的腳本(XSS)
云服務(wù)器中的文件遍歷
用戶控制設(shè)備更新鏈接
設(shè)備更新未簽名
設(shè)備忽視了服務(wù)器證書的有效性
通過利用這些漏洞,無需直接連接設(shè)備本身即可進(jìn)行以下攻擊以獲取憑證并破壞物聯(lián)網(wǎng)設(shè)備。
通過移動(dòng)應(yīng)用程序獲取憑證
如果攻擊者通過使用惡意網(wǎng)絡(luò)攔截移動(dòng)應(yīng)用程序中的流量��,他們可以輕松獲取用戶密碼�����。獲取方式如下:
受害者用手機(jī)連接到一個(gè)惡意網(wǎng)絡(luò)。
連接的攝像機(jī)應(yīng)用程序會(huì)試圖通過https連接到供應(yīng)商的服務(wù)器�����。
惡意網(wǎng)絡(luò)會(huì)將路由器連接到攻擊者的服務(wù)器,使用其自身的SSL證書�,并將通信代理連接到供應(yīng)商的服務(wù)器�。
攻擊者的服務(wù)器現(xiàn)在持有用戶密碼的未加安全保護(hù)的MD5。
攻擊者還可以篡改供應(yīng)商服務(wù)器和應(yīng)用程序之間的通信���。
通過網(wǎng)絡(luò)應(yīng)用程序獲取憑證
這類攻擊利用了用戶與其他用戶共享設(shè)備訪問連接攝像機(jī)權(quán)限的這一功能��。接收者為共享設(shè)備,需要在物聯(lián)網(wǎng)供應(yīng)商創(chuàng)建一個(gè)有效的帳戶�����,而發(fā)送者需要知道接收者的用戶名�,即電子郵件地址。
攻擊者在設(shè)備名中嵌入XSS漏洞����,然后和受害者共享該設(shè)備��。
一旦受害者使用網(wǎng)絡(luò)應(yīng)用程序登錄他的帳戶,XSS漏洞會(huì)開始啟動(dòng)并與攻擊者共享訪問令牌(在網(wǎng)絡(luò)應(yīng)用程序中存儲(chǔ)為變量)���。
攻擊者有了訪問令牌,就可以進(jìn)入受害者的帳戶及其所有的注冊設(shè)備����。
梭子魚網(wǎng)絡(luò)實(shí)驗(yàn)室團(tuán)隊(duì)通過這項(xiàng)研究了解到攻擊者無需直接連接設(shè)備本身就能成功破壞了一個(gè)物聯(lián)網(wǎng)設(shè)備(連接攝像機(jī))。一些攻擊者操作起來則更加輕松���,都無需在Shodan 上尋找?guī)в新┒吹脑O(shè)備����,只需攻擊供應(yīng)商的基礎(chǔ)設(shè)施就可達(dá)到目的。該威脅利用的是設(shè)備與云端的通信方式�,所以它也還可以影響其它類型的物聯(lián)網(wǎng)設(shè)備(無論什么功能的設(shè)備)��。
畢竟,漏洞并非出自產(chǎn)品本身�����,而來自開發(fā)人員的流程�、技能和意識(shí)��。隨著物聯(lián)網(wǎng)設(shè)備的訪問和訪問控制轉(zhuǎn)移到云端��,漏洞也隨之轉(zhuǎn)移��。
物聯(lián)網(wǎng)制造商可借鑒之處
設(shè)計(jì)物聯(lián)網(wǎng)解決方案的供應(yīng)商需要對(duì)設(shè)備運(yùn)行所采用的應(yīng)用程序的所有方面都要提供保護(hù)����。物聯(lián)網(wǎng)設(shè)備是分布于家庭�、學(xué)校和辦公室的傳感器,它們也將成為攻擊者的潛在切入口����。每位客戶的網(wǎng)絡(luò)均向服務(wù)器核心和其他客戶開放。
Web應(yīng)用防火墻是物聯(lián)網(wǎng)供應(yīng)商最需要提供關(guān)鍵保護(hù)的位置之一�,避免服務(wù)器受到第7層HTTP通信的影響。制造商還需要對(duì)網(wǎng)絡(luò)層攻擊和網(wǎng)絡(luò)釣魚加強(qiáng)保護(hù)���。
云安全為物聯(lián)網(wǎng)應(yīng)用程序和運(yùn)行的基礎(chǔ)設(shè)施提供可見性、保護(hù)和修復(fù)���,所以也很重要。橫向運(yùn)動(dòng)暴露的可能性很大且相當(dāng)復(fù)雜,因此關(guān)鍵在于要采取適當(dāng)?shù)陌踩A(yù)防措施。
作為消費(fèi)者��,您如何保護(hù)自己
消費(fèi)者在購買物聯(lián)網(wǎng)設(shè)備時(shí)�,除了考慮便利性和價(jià)格外��,還需要考慮安全性。以下是一些需要考慮的小貼士:
研究設(shè)備制造商的安全意識(shí)——一些生產(chǎn)物聯(lián)網(wǎng)設(shè)備的公司了解軟件安全����。而其中大部分或者是現(xiàn)有公司,其專業(yè)知識(shí)在于制造正在連接的物理產(chǎn)品����;或者是希望盡快把設(shè)備推向市場的創(chuàng)業(yè)公司��。這兩種情況都會(huì)忽視適當(dāng)?shù)能浖途W(wǎng)絡(luò)安全措施��。
在供應(yīng)商的其它設(shè)備中尋找現(xiàn)有漏洞——如果一個(gè)設(shè)備存在漏洞��,那么同家公司具有類似功能的其它設(shè)備也會(huì)存在漏洞��。歸根結(jié)底����,之前始終確保設(shè)備安全的供應(yīng)商未來也會(huì)繼續(xù)生產(chǎn)安全設(shè)備��。
評(píng)估對(duì)過去漏洞的響應(yīng)——如果供應(yīng)商對(duì)人們反應(yīng)的漏洞作出響應(yīng)�,并通過固件更新快速解決問題,說明了他們對(duì)制作的安全性和未來產(chǎn)品的態(tài)度�����。
目前�����,關(guān)于物聯(lián)網(wǎng)設(shè)備的安全性信息還是非常少��。理想情況下�,我們希望物聯(lián)網(wǎng)產(chǎn)品可以和汽車一樣����,都對(duì)安全等級(jí)進(jìn)行評(píng)分�。消費(fèi)者在對(duì)物聯(lián)網(wǎng)設(shè)備進(jìn)行投資前,應(yīng)了解具體信息和情況�。
