智能锁的便利性背后隐藏着安全隐患。Tripwire的研究人员发现,U-Tec UltraLoq智能锁存在错误配置,攻击者可以通过网络嗅探器获取MAC地址来窃取解锁令牌,实现无钥匙进入。尽管U-Tec已采取措施,如关闭开放端口和添加身份验证规则,但用户级别的访问控制仍有待加强。物联网设备的安全问题再次引起关注,强调了在追求便利的同时,必须重视产品的安全性。
智能锁已逐渐替代传统锁钥被用作智能物联网(IoT)保护财产的方法。与其他物联网设备(包括无线门铃和门栓)相辅相成,这些设备被普通公众用来保护他们的家。商业中,在Airbnb上出租房屋时,托管人可以对其进行远程管理不必在现场为客人安排钥匙移交。
虽然便利为王,但这种连通性也会带来一系列新的安全问题。例如,几年前,糟糕的固件更新使LockState客户陷入麻烦境地,他们纷纷在Twitter上抱怨无法远程控制自己的智能锁,因此无法进入自己的家。
现在,锁标正被网络嗅探器和漏洞利用所取代,在 U-Tec UltraLoq 中,Tripwire的研究人员披露了错误配置和其他安全问题,这些问题泄露了数据,使得攻击者仅用一个MAC地址就可以窃取解锁令牌。
U-Tec的价格为139.99美元的UltraLoq由包括Amazon,Walmart和Home Depot在内的零售商出售,被称为“安全,通用的智能门锁,可通过支持蓝牙的智能手机和代码提供无钥匙进入。”
用户可以与朋友和来宾共享临时代码和“密钥”以进行预定访问,但据Tripwire的研究人员Craig Young称,能够嗅探设备MAC地址的黑客也可以获得访问密钥。
Young首先在物联网搜索引擎Shodan中搜索与U-Tec和供应商使用MQTT相关的词条,MQTT是物联网设备中用于在节点之间发布-订阅协议的交换数据。例如,智能恒温器的传感器可以传输与特定房间中的供热有关的数据,或者智能锁可以使用MQTT记录用户及其访问活动。
MQTT将这些详细信息记录在主题名称下。研究者的查询显示了一个包含UltraLoq Amazon-hosted代理的主题名称,发现了客户PII(例如电子邮件地址)。然后,研究人员检查了UltraLoq设备本身,发现该设备与通过蓝牙连接到Wi-Fi的桥接设备配对。
Young发现了一个有趣的“在解锁过程中重复的消息流”,并且在敲出Python脚本重播消息后,计算出的信息可以用来开锁。
它所需要的只是正确的MAC地址——通过MQTT数据泄漏可方便地获取,还可以通过无线电广播提供给范围内的任何人。
Young表示,此安全问题使批量或从特定设备窃取解锁令牌变得容易。
“MQTT数据可将适合地理定位的电子邮件地址、本地MAC地址和公共IP地址关联起来,”研究人员说。“匿名攻击者将能够收集任何活跃的U-Tec客户的识别详细信息,包括他们的电子邮件地址,IP地址和无线MAC地址。”
2019年11月10日,Young与U-Tec联系,并公布了他的发现。初始,该公司告诉杨不要担心,声称"未经授权的用户将无法打开门。
然后,网络安全研究人员向他们提供了Shodan抓取的屏幕截图,显示了以MQTT主题名称形式泄露的活动客户电子邮件地址。
在一天之内,U-Tec团队就做出了一些更改,包括关闭开放端口,添加规则以防止未经身份验证的用户订阅服务以及“关闭未经身份验证的用户访问”。
虽然有所改进,但这并不能解决所有问题。
Young评论道:“这里的关键问题是,他们专注于用户身份验证,但未能实现用户级别的访问控制,我演示了任何免费/匿名账户都可以与任何其他用户的设备连接并交互,所必要的就是MQTT应用程序生成的交通恢复特定设备的用户名和一个MD5摘要充当密码。”
在进一步推进之后,U-Tec花了几天的时间实施用户隔离协议,解决了Tripwire在一周内报告的每个问题。
Young表示:“即使有像锁和熔炉这样对安全至关重要的系统,对产品进行安全保护的要求也很少,而对安全的监督则更少。正如我们在Mirai和其他IoT僵尸网络中所看到的那样,Internet上的设备甚至不需要多大漏洞就能在出现故障时造成严重破坏。”
Tripwire的发现基于Pen Test Partners在UltraLoq中发现的一系列关键问题。在2019年6月,渗透测试公司披露了导致用户信息暴露的移动应用程序API的安全故障,以及重置锁定PIN的方法,从而有可能将受害者锁在自己的家门外——或授予攻击者访问权限。通过蓝牙本地解锁也是可能的,研究人员称之为“微不足道”的攻击。
*本文出自SCA安全通信联盟,转载请注明出处。
扫一扫
811
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
