智能门锁暗藏的物联网安全危机

事件分析

尽管去年内，《绿盟科技 2019 物联网安全年报》[6]建议厂商和用户避免在互联网
中暴露 UPnP 服务，但根据绿盟威胁情报中心显示，2020 年全球仍有近数百万台开启了 UPnP 服务的设备暴露在互联网中。研究人员认为，一旦相关漏洞被披露，僵尸网络可能很快就会加以利用并发起反射攻击，这种新型反射攻击，将给防护带来一定的困难。诚然 UPnP 服务对方便设备间互联互通
有极大帮助，但其过于庞大的协议簇，从设计到实现均可能存在各种缺陷，防止 UPnP 服务被黑客利用仍需 OCF、设备厂商、运营商和用户多方共同努力。### 　BadPower ：让快速充电器
变成手机电脑杀手#### 　事件回顾
2020 年 7月 15 日，腾讯安全玄武实验室发布了一项命名为“BadPower”的重大安全问题研究报告 [9]。报告指出，市面上现行大量快充终端设备存在安全问题，攻击者可通过改写快充设备的固件控制充电行为，造成被充电设备元器件烧毁，造成严重的后果。据保守估计，受“BadPower”影响的终端设备数量可能数以亿计。
具体的，腾讯玄武安全实验室对市面上 35 款支持快充技术的充电器、充电宝等产品进行了测试，发现其中 18 款存在安全问题。攻击者可利用特制设备、手机、笔记本等数字终端来入侵快充设备的固件，控制充电行为，使其向受电设备供过高的功率，从而导致受电设备的元器件击穿、烧毁，还可能进一步给受电设备所在物理环境造成安全风险。攻击方式包括物理接触和非物理接触，有相当一部分攻击可以通过远程方式完成。在玄武实验室发现的 18 款存在 BadPower 问题的设备里，有 11 款设备可以通过数码终端进行无物理接触的攻击。腾讯安全玄武实验室已于 3 月 27 日将“BadPower”问题上报给国家主管机构 CNVD，同时也在积极和相关厂商一起推动行业采取积极措施消除 BadPower 问题。小米和 Anker 也对这次研究工作做出了贡献，另在未来上市的快充产品中也会加入安全检测环节。

原理简述

正常情况下，对不支持快充的受电设备，快充设备会默认对其供 5V的供电电压。但通过改写快充设备内控制供电行为的代码，就可以让快充设备对这些仅能接受 5V电压的受电设备输入最高 20V 电压 ,从而导致功率过载。即使对支持快充的受电设备，被控制后的恶意充电设备也可以在电力协商中告
诉受电设备自己将会供 5V电压，但实际却供 20V 电压。所有存在 BadPower 问题的产品都可通过特制硬件进行攻击，其中有相当一部分也可通过支持快充协议的手机、平板电脑、笔记本电脑等普通终端进行攻击。
通过特制硬件发起的 BadPower 攻击过程如下：

攻击者用伪装成手机的特制设备连接充电器的充电口，入侵充电器内部固件。
当用户使用被入侵的充电器给其它设备充电时，充电器对受电设备进行功率过载攻击。
通过普通终端进行的 BadPower 攻击过程如下：
攻击者通过某种方式入侵用户的手机、笔记本电脑等终端设备，在其中植入具有 BadPower 攻击能力的恶意程序，使该终端设备成为 BadPower 的攻击代理。
当用户将终端设备连接充电器时，终端设备里的恶意程序入侵充电器内部固件。
当用户再次使用被入侵的充电器给设备充电时，充电器会对被受电设备进行功率过载攻击。

事件分析

BadPower 不是传统网络安全问题，虽然不会导致数据隐私泄露，但会给用户造成实实在在的财产损失，甚至更糟糕的情况。BadPower 再次醒我们，随着信息技术的发展，数字世界和物理世界之间的界限正变得越来越模糊。之前我们知道工业控制系统、车联网系统的漏洞和威胁可能会影响物理世界，但这些似乎距离大多数人比较遥远，但是其实像充电器这种人人都有、不起眼的小东西也可能打破数字世界和物理世界之间的结界。

特斯拉废弃零件泄露隐私，谁为用户隐私买单？

事件回顾

在使用特斯拉车载信息娱乐服务前，用户必须输入详细的个人信息，存储这些信息的媒体控制单元或许正在成为用户隐私数据泄露的源头。2020 年 6 月，国外黑客发现，从废弃的特斯拉媒体控制单元（MCU）中，能够获取到之前设备所有者的隐私信息。

原理简述

据外媒报道，特斯拉服务中心清除废旧零部件之中的数据时，技术人员被告知要在零部件报废之前进行物理损毁。特斯拉官方程序的要求是，在将拆下的媒体控制单元扔进垃圾桶之前，工作人员需要确认接口是否被彻底毁坏。但是，用锤子敲击后的零部件外壳被损坏，内部的数据却未被破坏，依然能够在线上出售。
国外黑客格林从购物网站 eBay 上购买了一个废弃的媒体控制单元，这些零件在网上售卖的价格从 150 美元、200 美元到 300 美元、500 多美元不等。尽管这些废弃的零件已经被特斯拉技术人员手工销毁，但它仍然留有大量用户隐私数据，包括手机通讯录、通话记录、日历项目、WiFi密码、家庭住址、导航去过的地点等。

事件分析

随着汽车智能化、网联化技术快速深入发展，汽车内车机、控制器甚至是车外未来的基础设施以及云端内个人隐私的数据会日益庞大，数据种类也会越来越多。这些数据带给我们安全驾驶以及出行便利的同时，隐私泄露的风险也在加大。除了软硬件、云端方面的技术防护手段之外，隐私防护也需要标准、法律、法规相配合，需要多方协同努力、长期研究。

智能门锁暗藏的物联网安全危机

事件回顾

在物联网时代，智能门锁的普及率已经越来越高了，但智能门锁真的的安全吗？ U-Tec UltraLoq 是众筹平台 Indiegogo 上的一款热门产品，现已在亚马逊等电商平台零售。这款锁拥有一些高级功能，包括指纹读取器、反窥视触摸屏，以及通过蓝牙和 WiFi的 APP 端控制等。2020 年 8 月，Tripwire 的研究人员 Craig Young 发表了一篇博客，披露了其存在错误配置和其他安全问题，使得攻击者仅用一个 MAC地址就可以窃取解锁令牌 [10][11]。

原理简述

Young 首先在物联网搜索引擎 Shodan 中搜索与 U-Tec 和供应商使用 MQTT相关的词条，MQTT是物联网设备中用于在节点之间发布 -订阅、交换数据的协议。例如，智能恒温器的传感器可以传输与特定房间中的供热有关的数据，而智能锁可以使用 MQTT记录用户及其访问活动，研究员发现 UltraLoq 智能锁使用邮箱和 mac 地址连接 MQTT Brokers 如图 1.1 。

图 1.1　使用邮箱和 mac 地址连接 MQTT Brokers
研究人员连接到智能锁 MQTT服务端，在了一个包含 UltraLoq Amazon-hosted 代理的主题名称发现了客户 ID，于是他购买了一个相关型号的 UltraLoq 智能锁，并监听其通过 MQTT发送的消息。 Young 发现了一个“在解锁过程中重复的消息流”，并且利用脚本重放该数据包，结果发现只需要知道
该设备的 MAC地址能打开智能锁，事实上，设备的 MAC地址在相关 MQTT主题中就可以轻松获取到。
2019 年 11 月 10 日，Craig Young 向 U-Tec 告知他们的云服务给用户带来巨大安全风险，U-Tec 随后做了相关的补救措施，包括：已关闭端口 1883，开启端口 8883 是经过身份验证的端口、已关闭未经身份验证的用户访问等，但是这些措施实际上并没有完全解决问题。Young 再次发文表示，此次事件的主要问题是 U-Tec 专注于用户身份验证，但未能实现用户级访问控制，并且演示了匿名账户都可以与任何其他用户的设备连接并交互，如图 1.2 。
图 1.2　使用 HTTP Canary 嗅探账号和密码
几天后，U-Tec 宣布已经实现用户隔离，而 Craig Young 也发现攻击者确实不能在 MQTT的主题之间发布消息了，但其实并没有完全解决该款智能门锁的安全问题。在 2019 年 6 月 Pen Test Partners 报道称，在 UltraLoq 智能门锁中曾发现大量严重安全问题，涉案及 API、BLE 密钥、存储等多个层面的漏洞 [12]。

事件分析

除了到的智能门锁，其实每天都有大量没有进行安全测试的物联网设备上市或上线，消费者必须意识到这个逐渐累积的风险。即使是门锁这样的关键安全系统，满足的网络安全规范和要求也很少，相关安全监管更少。正如我们在 Mirai 和其他物联网僵尸网络中所看到的那样，互联网上的各类智能设备，例如智能灯泡、智能冰箱、智能音箱、摄像头等，在发生故障或被大规模劫持时也会造成严重破坏，并且目前的威胁或许只是冰山一角。

蓝牙冒充攻击（BIAS），无线安全不可忽视

事件回顾

研究人员 Daniele Antonioli 于 2020 年 5 月披露了一个蓝牙协议栈漏洞，攻击者可以利用这个漏洞伪造并欺骗远程配对的蓝牙设备，其危害性影响数十亿蓝牙设备。
蓝牙协议被广泛应用于数十亿台设备中，其中包含了多种身份验证过程。两个蓝牙设备如果要建立加密连接，则必须使用密钥互相配对。
在两个蓝牙设备成功配对之后，下一次
它们就能够不经过配对过程而重新连接。
BIAS攻击就是利用了这个特性。