2017年隨著物聯網的高速發展,人們生活中與物聯網設備的接觸越來越頻繁,人與物聯網之間的聯系更加緊密。IPv6通訊協議、5G通信的推廣,網絡傳輸和響應的速度越來越快,萬物互聯時代即將來臨。根據研究機構IDC的報告,2020年全球物聯網市場規模將達到17000億美元,物聯網設備將有200億臺。在2025年,這一數字更將達到754億臺。
同時,由于物聯網設備的防護難度或對安全性的忽視,使得物聯網設備異常脆弱,很容易被攻擊者發現漏洞并利用。據統計,物聯網設備在全球范圍內已暴露7100多萬臺,包含路由器、攝像頭、防火墻、打印機、VPN等設備類型,物聯網設備的安全需求日益凸顯。本文將為大家盤點2017年發生的十二大物聯網安全事件。
一、智能玩具泄露200萬父母與兒童語音信息
今年3月,Spiral Toys旗下的CloudPets系列動物填充玩具遭遇數據泄露,敏感客戶數據庫受到惡意入侵。此次事故泄露信息包括玩具錄音、MongoDB泄露的數據、220萬賬戶語音信息、數據庫勒索信息等。這些數據被保存在一套未經密碼保護的公開數據庫當中。
Spiral Toys公司將客戶數據庫保存在可公開訪問的位置之外,還利用一款未經任何驗證機制保護的Amazon托管服務存儲客戶的個人資料、兒童姓名及其與父母、親屬及朋友間的關系信息。只需要了解文件的所處位置,任何人都能夠輕松獲取到該數據。
2015年11月,香港玩具制造商VTech就曾遭遇入侵,近500萬名成年用戶的姓名、電子郵箱地址、密碼、住址以及超過20萬兒童的姓名、性別與生日不慎外泄。就在一個月后,一位研究人員又發現美泰公司生產的聯網型芭比娃娃中存在的漏洞可能允許黑客攔截用戶的實時對話。
家長應該提高憂患意識,給小孩買任何可聯網智能玩具之前,三思而后行。
二、基帶漏洞可攻擊數百萬部華為手機
今年4月,安全公司Comsecuris的一名安全研究員發現,未公開的基帶漏洞MIAMI影響了華為智能手機、筆記本WWAN模塊以及loT(物聯網)組件。
基帶是蜂窩調制解調器制造商使用的固件,用于智能手機連接到蜂窩網絡,發送和接收數據,并進行語音通話。攻擊者可通過基帶漏洞監聽手機通信,撥打電話,發送短信,或者進行大量隱蔽,不為人知的通信。
該漏洞是HiSliconBalong芯片組中的4G LTE調制解調器(俗稱貓)引發的。Hisilion科技是華為的一個子公司,同時Balong應用處理器叫做:Kirin。
這些有漏洞的固件存在于華為榮耀系列手機中。研究人員無法具體確定有多少設備受到了這個漏洞的影響。他們估計有數千萬的華為智能手機可能收到攻擊。僅在2016年第三季度銷售的3300萬元的智能手機中,其中就有50%使用了這個芯片。
三、三星Tizen操作系統存在嚴重安全漏洞
今年4月,三星Tizen操作系統被發現存在40多個安全漏洞,Tizen操作系統被應用在三星智能電視、智能手表、Z系列手機上,全球有不少用戶正在使用。
這些漏洞可能讓黑客更容易從遠程攻擊與控制設備,且三星在過去8個月以來一直沒有修復這些三星在產品測試中編碼錯誤所引起的漏洞。安全專家狠批其程序代碼早已過時,黑客可以利用這些漏洞自遠程完全地控制這些物聯網裝置。
值得一提的是三星目前大約有3000萬臺電視搭載了Tizen系統,而且三星更是計劃到今年年底之前有1000萬部手機運行該系統,并希望藉此減少對Android系統的依賴,但很顯然Tizen現在仍不安全。
四、無人機多次入侵成都雙流國際機場
今年4月,成都雙流連續發生多起無人機(無人飛行器)黑飛事件,導致百余架次航班被迫備降或返航,超過萬名旅客受阻滯留機場,經濟損失以千萬元計,旅客的生命安全和損失更是遭到了巨大的威脅。
無人機已經進入人們的工作和生活。不僅在國防、救援、勘探等領域發揮著越來越重的作用,更成為物流、拍攝、旅游等商業服務的新模式。一臺無人機由通信系統、傳感器、動力系統、儲能裝置、任務載荷系統、控制電路和機體等多個模塊組成。與我們平常使用的智能手機、平板電腦一樣,在系統、信號、應用上面臨各類安全威脅。
在今年11月份的一次安全會議上,阿里巴巴安全研究人員做了遠程劫持無人機的演示,一個專業人員無需軟件漏洞就能Root(獲得管理員權限)無人機。而就在1年前的2016年黑帽安全亞洲峰會上,IBM安全專家也演示了遠程遙控兩公里內的無人機起飛的案例,攻擊者只需要多掌握一點無線電通信的基礎知識就能夠完成劫持操作。
針對越來越多的安全威脅,為了保障無人機的運行安全,頂象技術聯手迅蟻網絡推出國內首個無人機安全解決方案——“無人機全鏈路防護體系”。在設備端:通過虛機源碼保護技術對核心算法、系統源代碼進行保護,以防范系統的代碼泄露、被破解,保障無人機的系統安全。在通訊端:配置鏈路保護技術,防范在數據傳輸中被竊聽、篡改、劫持,保障通信指令的可信有效和操控安全。在服務器端:部署云安全防護,保障服務器、網絡和各個應用的安全,并提供實施風險決策和智能分析。
五、Avanti Markets自動售貨機泄露用戶數據
今年七月,美國自動售貨機供應商 Avanti Markets遭遇黑客入侵內網。攻擊者在終端支付設備中植入惡意軟件,并竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息。該公司的售貨機大多分布在各大休息室,售賣飲料、零食等副食品,顧客可以用信用卡支付、指紋掃描支付或現金支付的方式買單。Avanti Markets的用戶多達160萬。
根據某位匿名者提供的消息,Avanti 沒有采取任何安全措施保護數據安全,連基本的 P2P 加密都沒有做到。
事實上,售貨終端以及支付終端等IoT設備遭遇入侵在近幾年似乎已成為家常便飯。支付卡機器以及POS終端之所以備受黑客歡迎,主要是因為從這里竊取到的數據很容易變現。遺憾的是,POS終端廠商總是生產一批批不安全的產品,而且只在產品上市發布之后才考慮到安全問題。
六、17.5 萬個安防攝像頭被曝漏洞
今年八月,深圳某公司制造的17.5萬個物聯網安防攝像頭被爆可能遭受黑客攻擊,這些安防攝像頭可以提供監控和多項安全解決方案,包括網絡攝像頭、傳感器和警報器等。
安全專家在該公司制造的兩個型號的安防攝像頭中找到了多個緩沖區溢出漏洞。這些安防攝像頭都是通用即插即用(UPnP)設備,它們能自動在路由器防火墻上打開端口接受來自互聯網的訪問。
安全專家注意到,兩款安防攝像頭可能會遭受兩種不同的網絡攻擊,一種攻擊會影響攝像頭的網絡服務器服務,另一種則會波及 RSTP(實時串流協議)服務器。
研究人員稱這兩款安防攝像頭的漏洞很容易就會被黑客利用,只需使用默認憑證登陸,任何人都能訪問攝像頭的轉播畫面。同時,攝像頭存在的緩沖區溢出漏洞還使黑客能對其進行遠程控制。
七、超1700對臺IoT設備Telnet密碼列表遭泄露
今年八月,安全研究人員 Ankit Anubhav 在 Twitter 上分享了一則消息,聲稱超 1700 臺 IoT 設備的有效 Telnet 密碼列表遭泄露,這些密碼可以被黑客用來擴大僵尸網絡進行 DDoS 攻擊的動力來源。
這份列表中包含了33138 個IP地址、設備名稱和telnet密碼,列表中大部分的用戶名密碼組合都是”admin:admin”或者”root:root”等。這整份列表中包含143種密碼組合,其中60種密碼組合都來自于Mirai Telnet掃描器。GDI 研究人員在分析了上述列表后確認它由 8200 個獨特 IP 地址組成,大約每 2.174 個 IP 地址是通過遠程登錄憑證進行訪問的。然而,該列表中的 61% IP 地址位于中國。
該列表最初于今年 6 月在 Pastebin 平臺出現,早期名單的泄露者與此前發布有效登錄憑據轉儲、散發僵尸網絡源代碼的黑客是同一人。當天正值七夕,簡直就是國內黑客們的七夕禮物。
八、藍牙協議爆嚴重安全漏洞,影響53億設備
物聯網安全研究公司Armis在藍牙協議中發現了8個零日漏洞,這些漏洞將影響超過53億設備——從Android、iOS、Windows以及Linux系統設備到使用短距離無線通信技術的物聯網設備,利用這些藍牙協議漏洞,Armis構建了一組攻擊向量(attack vector)“BlueBorne”,演示中攻擊者完全接管支持藍牙的設備,傳播惡意軟件,甚至建立一個“中間人”(MITM)連接。
研究人員表示,想要成功實施攻擊,必備的因素是:受害者設備中的藍牙處于“開啟”狀態,以及很明顯的一點,要盡可能地靠近攻擊者的設備。此外,需要注意的是,成功的漏洞利用甚至不需要將脆弱設備與攻擊者的設備進行配對。
BlueBorne可以服務于任何惡意目的,例如網絡間諜、數據竊取、勒索攻擊,甚至利用物聯網設備創建大型僵尸網絡(如Mirai僵尸網絡),或是利用移動設備創建僵尸網絡(如最近的WireX僵尸網絡)。BlueBorne攻擊向量可以穿透安全的‘氣隙’網絡(將電腦與互聯網以及任何連接到互聯網上的電腦進行隔離),這一點是其他大多數攻擊向量所不具備的能力。
九、WPA2爆嚴重安全漏洞,黑客可任意讀取信息
今年10月,有安全專家表示WiFi的WPA2(WPA2是一種保護無線網絡安全的加密協議)存在重大漏洞,導致黑客可任意讀取通過WAP2保護的任何無線網絡的所有信息。
據發現該漏洞的比利時魯汶大學計算機安全學者馬蒂·凡赫爾夫(Mathy Vanhoef)稱:“我們發現了WPA2的嚴重漏洞,這是一種如今使用最廣泛的WiFi網絡保護協議。黑客可以使用這種新穎的攻擊技術來讀取以前假定為安全加密的信息,如信用卡號、密碼、聊天信息、電子郵件、照片等等。”
據悉,該漏洞名叫“KRACK”,存在于所有應用WPA2協議的產品或服務中。其中,Android和Linux最為脆弱,Windows、OpenBSD、iOS、macOS、聯發科技、Linksys等無線產品都受影響。
“KRACK”漏洞利用有一定局限性,比如,需要在正常WiFi信號輻射到范圍內。另外,該漏洞可以讓中間人竊取無線通信中的數據,而不是直接破解WiFi的密碼。
十、智能家居設備存在漏洞,吸塵器秒變監視器
今年11月,Check Point研究人員表示LG智能家居設備存在漏洞,黑客可以利用該漏洞完全控制一個用戶賬戶,然后遠程劫持LG SmartThinQ家用電器,包括冰箱,干衣機,洗碗機,微波爐以及吸塵機器人。
LG智能家居的移動端應用程序允許用戶遠程控制其設備(包括打開和關閉它們)。例如,用戶可以在回家前啟動烤箱和空調,在進超市前檢查智能冰箱中還有多少庫存,或者檢查洗衣機何時完成一個洗衣循環。當用戶離開時,無論設備是開啟的還是關閉的,網絡犯罪分子都可以得到一個完美的入侵機會,并將它們轉換為實時監控設備。
研究人員演示了黑客通過控制安裝在設備內的集成攝像頭將LG Hom-Bot變成一個間諜。他們分析了Hom-Bot并找到了通用異步收發傳輸器(UART)的連接,當連接被找到時,研究人員就可以操縱它來訪問文件系統,一旦主進程被調試,他們就可以找到啟動Hom-Bot與SmartThinQ移動端應用程序之間用于通信的代碼了。
迄今為止LG已售出超過100萬臺Hom-Bot吸塵器,但并非所有型號都具有HomeGuard安全監控功能。
十一、美國交通指示牌被攻擊,播放反特朗普語言
今年12月,位于達拉斯北中央高速公路附近的一個電子交通指示牌遭到了不明黑客的攻擊。標志牌的顯示內容遭到了篡改,被用于顯示針對美國現任總統唐納德·特朗普(Donald Trump)以及其支持者的侮辱性言語。
事件發生在周五晚上,這些信息被持續不間斷地循環播放,并一直持續到周六早上。如此一塊指示牌不僅震驚了人們,還造成了交通擁堵,因為大多數司機決定停下來“拍照留念”。值得注意的是,這并不是美國首次遭遇電子交通指示牌被黑客攻擊事件。在2015年12月,特朗普的一位支持者在位于加利福尼亞州科羅納市的一個高速公路牌上留下了“為唐納德·特朗普投票(Vote Donald Trump)”的消息。
安全專家表示,攻擊電子交通指示牌是很簡單的。因為,它們的控制后臺總是采用默認密碼,并提供有關如何打開控制臺電源、關閉標志顯示、關閉快速消息以及創建自定義消息的說明。
十二、1000余臺利盟(Lexmark)打印機在線暴露,涉及眾多國家政府辦公室
NewSky Security的安全研究人員最近發現超過1000臺利盟(Lexmark)打印機因人為配置錯誤而在線暴露,任何能夠連接到互聯網的人都可以輕松地對其進行訪問。
研究人員確定的易受攻擊打印機具體數量為1123臺,它們均沒有設置密碼保護。這意味著,只要潛在攻擊者能夠找到這些打印機,就可以執行多種不同類型的活動。比如,添加后門、劫持打印作業、使打印機脫機,甚至可以發送大量打印垃圾內容的作業指令造成打印機的物理損壞。
這些打印機來自全球多個國家,涉及企業、大學,甚至還包括某些國家政府辦公室。NewSky Security的研究人員在使用Shodan引擎進行搜索時,就發現了一臺在線暴露的打印機似乎屬于美國拉斐特市政府辦公室。
總結
上述曝光的物聯網安全事件,僅僅是呈現在大家眼前的冰山一角,隱藏在背后的物聯網安全威脅層出不窮,2018的安全形勢將會更加嚴峻。隨著物聯網逐漸走入千家萬戶的生活當中,物聯網設備將成為黑客們新的戰場,而且黑客攻擊日益組織化、產業化,攻擊對象的廣度及深度,將有大幅度的變化。
微信掃一掃
