卡巴斯基研究人员调查了一个活跃的智慧家庭生态系统的控制设备,并且发现了多个严重漏洞。
卡巴斯基研究人员调查了一个活跃的智慧家庭生态系统的控制设备,并且发现了多个严重漏洞。其中包括云基础设施中的漏洞和潜在的远程代码执行漏洞,能够让第三方获得控制器的“超级用户”访问权限,从而可以任意操纵智慧家庭基础设施。我们将调查结果分享给了这些设备的供应商Fibaro,他们立即解决了这些问题,并更新了安全协议。
自从物联网(IoT)的安全性首次研究以来,已经过去了多年,随着物联网领域的不断扩大和发展,这类研究的重要性依然存在:因为随着新产品和新的解决方案的出现,也会伴随着新的威胁层面的出现,危及用户的安全。卡巴斯基的一名员工向该公司的研究人员提出挑战,要求他们检查一下他家中部署的智慧系统。他允许研究人员访问他的智慧家庭控制器。之所以选择控制器,是因为它连接并监督整个智慧家庭的整体运营,一旦成功入侵,就可以让网络攻击者入侵整个家庭生态系统,实施从监控到数据盗窃到物理破坏等各种攻击。
在最初的情报收集研究阶段,安全专家发现了多个潜在入侵途径:通过广泛应用于家庭自动化的Z-Wave无线通信协议;通过管理面板的web界面;以及通过云基础设施。结果,最后一个途径是最有效的入侵路径:检查用于处理来自设备的请求的方法,发现授权过程中存在漏洞,并且有可能执行远程代码。
这几种攻击途径结合起来,能够让第三方访问所有从Fibaro 家庭中心上传到云端的所有备份,还可以将受感染的备份上传到云端,之后将其下载到特定的控制器——尽管攻击者没有系统权限。
为了完成实验,卡巴斯基专家针对控制器进行了测试攻击。为此,他们准备了专门的具有脚本的备份,并且使用密码对其进行保护。之后,他们通过云端,向设备主人发送了电子邮件和短信,督促用户更新控制器的固件。根据要求,“受害者”同意并下载了受感染的备份。这样做能够让研究人员获得对智慧家庭控制器的超级用户权限,从而可以操纵联网的生态系统。为了展示他们成功入侵了系统,研究人员更改了闹钟的铃声——第二天,这名卡巴斯基员工被一段响亮的鼓打贝斯音乐吵醒。
卡巴斯基ICS CERT安全研究员Pavel Cheremushkin说:“与我们不同,一个能够访问家庭中心的真正的攻击者不太可能会将自己局限于闹钟恶作剧。我们所研究的这些设备的主要功能是整合所有的“智慧设备”,这样主人就可以通过一个家庭中心管理所有设备。一个重要的细节是,我们的评估针对的是一个主动部署的系统 ——而之前,大多数研究都是在实验室条件下进行的。这些研究表明,尽管人们对物联网安全性的认识有所增加,但仍然有一些问题需要解决。更重要的是,我们研究的设备是大规模生产的,并部署在功能齐全的智慧家庭网络中。我们感谢Fibaro对这些问题的负责态度,因为我们知道他们专注于网络安全,并且较这次研究之前,使我们的同事的家变得更加安全”。
“物联网基础设施需要复杂的系统在许多层面上流畅地工作。这些基础设施涉及很多部署和架构工作。我们感谢卡巴斯基的研究和努力。这些研究帮助我们增强了我们产品和服务的安全性。通过合作,我们能够消除现在漏洞。我们强烈建议FIBARO用户安装最新的更新,并且一定要检查接收到的邮件是否与FIBARO网站上的公告一致。这些更新增强了系统功能,同时让黑客更难窃取私人数据,”FIBARO首席产品官Krzysztof Banasiak说。
要确保设备安全,我们建议用户:
· 在决定使用智慧设备之前,请考虑安全风险。
· 在购买物联网设备之前,请在互联网上搜索相关漏洞新闻。
· 在购买新产品时,除了标准漏洞外,最新发布的产品可能包含尚未被安全研究人员发现的安全问题。考虑到这一点,最好的选择是购买已经经历过多次软件更新的产品,而不是最新上市的产品。
· 确保您的所有设备都安装了最新的安全更新和固件更新。
完整版报告请参见Securelist.
