智慧喇叭突然暫停正在播放的歌曲,可能是攻擊者在背後操縱。還不止如此,攻擊者可以根據目標的音樂偏好發送客製化的釣魚郵件, 可以播放假錄音訊息來誘騙目標下載惡意軟體,甚攻擊者可以追踪目標居住的位置並得知他們是否在家。
除了智慧喇叭,任何具有相同或相似漏洞的設備都可能面臨這些攻擊風險。
隨著整合熱門網路服務的物聯網(IoT ,Internet of Thing)設備的出現,有越來越多的使用者看見這類設備的價值。容易整合讓使用者更會考慮將這些產品放入自己的網路。不過易用性雖然很誘人,這些產品也可能出現安全問題而帶來負面的影響。
為了了解物聯網設備的安全防護能力以及攻擊者可以如何地去操縱物聯網設備,趨勢科技測試了特定物聯網設備(智慧喇叭)的安全性。
聲音入侵
在“針對性攻擊的聲音(The Sound of a Targeted Attack)”案例研究中,趨勢科技測試了兩款可連網的智慧喇叭: Sonos Play:1和Bose SoundTouch,發現暗藏的安全漏洞,會暴露使用者資料及其他可用於攻擊的資訊,其中包括了阻斷服務(DoS)漏洞。
過去的研究都專注在奪取喇叭(如Amazon Echo和Google Home)的控制能力,我們的報告則有另外的發現,包括了開放端口所造成的安全間隙,這開放端口讓網際網路上的任何人都可以存取設備和使用者資訊。第一個被找到的是跟設備同步的音樂串流服務連結電子郵件地址。另一個可以拿到的是與測試機位於同網路的設備及共享資料夾列表。我們還取得了BSSID資訊,查詢BSSID可以讓我們知道測試機所使用無線基地台的大致位置。最後,我們還可以看到設備上進行的動作,比如正在播放的歌曲、遠端控制設備以及通過URI路徑播放音樂。
這些問題所帶來的影響超過了設備遭受控制。因為智慧喇叭等物聯網設備可能會洩露讓攻擊者可以用於惡意攻擊的資訊。首先來剖析測試機(Sonos Play:1喇叭)找出安全問題,我們能夠模擬可能的攻擊情景,不僅適用在家庭用戶,也可能被用在企業網路。雖然測試的是連接網際網路的喇叭,而且Sonos Play:1的更新也已經推出,但其他的物聯網設備仍然具備類似問題,也讓攻擊者能夠相同的利用。
攻擊物聯網設備的先決條件
無論針對的物聯網設備是什麼,要發起攻擊時都會利用多項元素。在各種攻擊情境裡,攻擊者都會利用可存取和可利用的資訊。下面列出IoT攻擊情境的先決條件,我們根據對Sonos喇叭的測試來制定了這些條件:
- 對外暴露的設備 – 正如我們對入侵工業機器人以及美國和西歐城市暴露設備的研究所顯示,攻擊者可以透過Shodan等搜尋引擎在網際網路上尋找對外暴露的設備。在進行研究時,我們可以看到大約4,000到5,000個對外暴露的Sonos喇叭。
- 存在不安全性 – 設備具有可讓攻擊者利用的安全漏洞。這可能是缺乏身份認證、未經修補的漏洞或外部來源所洩漏的資訊。在此測試中是開放對使用者資料的存取及其他部分。
- 可被利用的設備功能 – 因為物聯網設備的形式和功能各不相同,某些設備可能具備攻擊者可加以利用的獨特功能。在智慧喇叭的例子裡,攻擊者可以利用從網路來源播放音樂的能力。
- 可公開取得的個人身份資訊(PII) – 這些資訊可以來自合法來源,例如線上搜尋工具或社群媒體,也可以來自被公開的資料外洩資訊。在此研究中,我們發現了727個不重複電子郵件地址能夠輸入到開放原始碼情報工具(如Maltego)。我們還看到數個電子郵件帳號連結到之前的資料外洩事件,如River City Media,LinkedIn和fm。
攻擊情境
使用上述的攻擊先決條件,我們可以為智慧喇叭制定三種攻擊情景。同樣地,任何具有相同或相似漏洞的設備都可能面臨這些攻擊風險。
攻擊者可以根據目標的音樂偏好發送客製化的釣魚郵件。
透過Nmap掃描,我們發現Sonos Play:1的應用程式用TCP/1400進行連線。這讓我們找到一個不用身份驗證的URI頁面。
圖1.、Nmap掃描顯示的服務
這URI導向讓應用程式控制設備的服務,並且包含了不需驗證就可以看到的資訊。包括了正在播放的曲目、連到設備的資料庫、用於控制喇叭的設備,與喇叭位於同一網路的設備以及與設備同步的音樂串流服務連結電子郵件地址等資訊。
這個風險並不限止於家庭用戶。在工作場合裡,識別並列出連到同一網路的其他物聯網設備可以為攻擊者提供大量有用的資訊。惡意份子可能會找到如有漏洞的印表機之類的機器,並用它來收集更多資料或作為進入點。
圖2.、Sonos狀態頁面的內容
除了找到進入點,攻擊者還可以利用找到的資料進行魚叉式網路釣魚攻擊。通過正在播放的曲目研究目標的音樂偏好,攻擊者可以客製化電子郵件並將其寄到目標音樂串流帳號連結的電子郵件地址。這也可以增加入侵企業的成功率。
從某種意義上說,任何洩露個人或網路資訊的物聯網設備都可以讓攻擊者利用來進行成功的攻擊。
攻擊者可以追踪目標居住的位置並得知他們是否在家。
這可以通過整合多個無線網路位置來源的網站完成。在此研究中,我們查詢跟測試機相關的特定BSSID並繪製出了位置。資料來自設備安裝時試圖連上的無線基地台。
圖3、使用SSID找出的地址
確定目標位置之後,攻擊者可以監視設備來得知目標在不在,例如喇叭被啟用和停用的時間。這模式或多或少可以讓攻擊者知道目標是醒著,睡著,甚或不在附近。
涉及網路和實體的混合攻擊是家庭和企業用戶所應該注意的新危險。洩漏人員存在資訊的設備不僅讓使用者更容易預測,還可能讓使用者陷入人身危險。
攻擊者可以播放假錄音訊息來誘騙目標下載惡意軟體。
使用URI路徑所找到的資訊(例如型號和序號),攻擊者可以中斷使用者的設備,暫停正在播放的歌曲,並播放包含誤導資料的偽造訊息。
跟第一個攻擊情境類似,攻擊者可以將特製郵件寄到連結音樂串流服務的帳號。這一次,電子郵件包含偽裝來自廠商的假消息及下載惡意軟體而非軟體更新的連結。
為了讓郵件更加可信,攻擊者可以用目標的電子郵件地址在線上搜尋工具搜尋公開資料,為預先錄製的訊息加入更加個人化的詳細資訊。對於使用智慧喇叭或有自帶設備(BYOD)計劃的公司來說,這種騙局會帶來極大的危險。
對於不同的物聯網設備,攻擊者也可能有創意地利用其他功能。想像一下,如果他們能夠存取安全攝影機、路由器、恆溫器甚至是FitBit,可以做些什麼。
對企業的風險
認為物聯網設備會保護使用者個人資料且安全連上網路的想法很危險。網路犯罪分子很快就會找出濫用物聯網設備的方法。隨著物聯網設備的製造與消費的增加,缺乏安全性越來越成為問題。這些設備都能夠跟網際網路互相連結,可能只要一個安全漏洞就會危及使用者,甚或整個網路。設備暴露在網路上的功能可能遭受攻擊進而洩露個人資料,產品不安全已經會導致攻擊,而且還會繼續發生。
最近的一起資安事件是關於兒童智慧手錶。
這些手錶被發現會讓攻擊者追蹤佩戴者動作、竊聽對話並與佩戴者溝通的漏洞。這表明即便是熱門設備也可能沒有足夠的產品安全性。
不安全聯網設備的問題並不局限於家庭用戶,當這些貌似安全的物聯網設備進入公司網路時也將問題延伸到工作環境,就如攻擊情境所示。無論這些設備是為了提高生產力或只是由員工帶到工作上,都不能對不安全和對外暴露的設備掉以輕心。
降低物聯網的不安全性
鑑於物聯網設備需要連到網路,廠商必須確保這些產品不會對購買者帶來危險。當資料進入聯網設備時,使用者很難知道這些資料是否受到產品內建安全措施的適當保護。儘管消費者也有責任進行適當的安全措施(如安裝修補程式),但廠商應該要確保自己生產的產品不會對客戶造成安全風險。
當物聯網設備連到網路時,它們不應該對外暴露。在這測試案例中,廠商應該確保連到設備的端口不能直接從網際網路存取。廠商還應該保護這些物聯網設備儲存或處理的資料,並進行安全稽核 – 包括定期瀏覽討論其產品的公共論壇。
同時,消費者和企業IT管理員不應該完全地依賴廠商。使用者應該要檢查路由器可能讓外部連上內網設備和資料夾的規則。將其限制到盡可能少的設備。如果可以,所有的設備都要啟用密碼保護,並且立即用強密碼來替換預設密碼。
使用者還可以連到如WhatsMyIP等網站來掃描自己網路的開放端口。同時確保自己物聯網設備的韌體有進行更新。有BYOD計劃的企業必須知道員工在工作中所使用的聯網設備並確切提供安全指南。
當我們前進到聯網的世界時,廠商、消費者和IT管理員都必須具備安全第一的思維模式。鑑於物聯網設備會管理和保存的所有個人資料,使用時如何做好安全防護應該跟易用性及能夠跟應用程式整合一樣重要。
要詳細了解以上所提的攻擊情境,請閱讀完整的案例研究 – “針對性攻擊的聲音”。報告中還包括我們的測試機所有對外暴露的服務、因為安全間隙而對外暴露的資訊類型以及找出暴露在外智慧喇叭的Shodan查詢。
@原文出處:The Need for Better Built-in Security in IoT Devices 作者:Stephen Hilt(資深威脅研究員)