黑客能做什么?破解WiFi密码、攻入服务器、入侵APP……这些事So easy!就在“迈瑞微智能锁安全系统技术峰会”现场,记者也见到了一位深耕于智能锁行业的“白帽黑客”——工信部电子第五研究所—物联网攻防实验室高级测评师李乐言,他平易近人,也没有特异功能,却从软件层面详细分析了智能锁的各种潜在风险,并给出了相应的防御手段。
图:工信部电子第五研究所—物联网攻防实验室高级测评师李乐言
以下为演讲主体内容:
图:智能锁潜在风险全景图
RFID开锁安全
据了解,智能门锁常具备RFID开锁功能,主要涉及ID和IC(M1)卡两种。目前市场在售智能门锁常具备自行录入公交卡、工牌甚至身份证作为开锁卡的功能。通过测试发现,智能门锁常录入信息为标签未加密信息,易被复制、重放、篡改和枚举(ID卡)导致智能门锁被开启。
2015年,工业和信息化部电子第五研究所—物联网攻防实验室测试了某个全国连锁大型快捷酒店的房卡,只要抽取3~5张房卡样本,可以建立当地该酒店的房卡模型样本,即可以生成万能房卡(清洁房卡)。
密码逻辑安全
目前智能门锁常标配“虚位密码”功能,可在正确密码前或后加任何数字,只要输入数字中包含连续正确密码,即可成功开锁,该功能目的旨在防偷窥。但这样的功能也间接导致智能门锁出现以下问题:
密码长度溢出:输入超过256个数字后,任意开锁;密码批量破解:缩短破解周期,如四位密码从5040次尝试缩短到20次;密码算法后门:利用当前显示的时间,通过一定公式即可算出智能门锁任意密码。
无线通信安全
1、短距离无线电方式
部分智能门锁配备短距离无线电遥控器,使用315Mhz和433Mhz。这种方式的数据极易被截取,通过对截取的数据信息进行无线电重放、滚动码分析、转发式无线电攻击等操作,可直接破解数据信息。
2、蓝牙方式
部分智能门锁使用蓝牙开锁方式。蓝牙传输具备低能耗、连接时间可变、传输距离远、采用128bitAES加密、低延时等特点。
潜在风险:配对时的密钥分配不安全、GATT的Profile中的数据交互接口暴露。
大部分厂商用AES加密、数据不改变、无签名校验的方式,但对数据抓包重放后便可开锁。
联网安全风险
智能锁的联网功能增加了便捷性同时,也带来了一系列的安全风险,如身份鉴别、访问控制、Web安全漏洞等。
1、身份鉴别风险
身份鉴别不符合,主要存在着以下问题:
· 未限制密码复杂度(至少两种字符组合,六位长度以上)· 未限制非法登陆次数
· 重置密码的短信验证码由本地生成或存在于返回数据包· 未限制短信验证码错误使用的次数,及验证码使用时间· 设备未进行人机校验
2、访问控制风险
访问控制不符合原因如下:
· 后端信息系统未对数据包重要访问控制参数进行校验,导致越权操作· 存在远程命令执行,可以root权限执行命令· 重要会话信息可被窃取
3、web安全漏洞
· 注入
· 失效的身份认证和会话管理
· 跨站脚本(XSS)
· 不安全的直接对象引用
· 安全配置错误
· 敏感信息泄漏
· 功能级访问控制缺失
· 跨站请求伪造(CSRF)
· 使用含有已知漏洞的组件
· 未验证的重定向和转发
应对策略
针对以上潜在的安全风险,李乐言提出了最小化攻击面、Secure default、权限最小化、纵深防御、不要信任第三方系统、业务隔离、公开设计、使用白名单等8大设计原则。
1、最小化攻击面
系统每增加一个功能特性就有可能会引入新的风险,通过安全开发可以减少攻击面,进而达到控制系统整体风险的目的。
2、Secure default
让默认的配置和策略尽可能的安全。
3、权限最小化
只拥有可以完成他们任务的最小权限,即不赋予不必要的权限。
4、纵深防御
从不同的维度去实施安全保护措施,来缓解被攻击的风险。
5、不要信任第三方系统
充分考虑到当第三方系统被攻击时,如何保障自己的业务系统的安全性。
6、业务隔离
将不同产品、业务隔离开来(主要针对多产品公司)。
7、公开设计
私有算法面临的问题:攻击者可以通过抓包或逆向二进制来进行破解;攻击者通过入侵服务器或给员工机器种植木马的方式获取到源代码;对公司不满的员工故意公开算法。
8、使用白名单
白名单的思想为:除了定义为合法的,其它都拒绝。这是应用系统(云平台)最需要重视的环节。
为了保证智能终端产品质量, 使进入市场的智能终端都能提供应有的安全功能, 尽可能保护生产企业的声誉,维护企业形象和利益,需要企业内部专业安全团队、第三方安全企业或专业测评机构对智能终端进行全面安全检测,发现其安全隐患。
图:找出硬件产品漏洞的方法
物联网智能终端属于软硬件嵌入式系统,因此在实现安全防护时需要同时考虑硬件、操作系统和应用的安全,结合攻击者常用的攻击路径,对物联网智能终端做具有针对性的、基于全生命周期的安全防护。
物联网智能终端设备种类繁多,功能、业务和处理能力也差异很大,要想通过传统安全解决方案(如安装传统安全软件或者架设安全硬件等方式)来提供安全防护能力几乎无法实现。
操作系统终端的安全检测,需要能够深入到操作系统内核层面,检测用户应用对操作系统内核层面的一切行为。
由于物联网智能终端面临变化多样的攻击手段,要求在安全防护上除了具备深度检测外,还要具备对系统分域的动态检测能力,以及关联性节点的安全检测能力。
对于物联网智能终端的安全漏洞修复,需要采取云端下发、终端自动升级的方式,也就是如今日益成熟的 OTA(Over-the Air Technology)空中下载技术。
閱讀更多 智慧產品圈 的文章
