小結(jié)

Mirai僵尸網(wǎng)絡(luò)的感染對象已經(jīng)從網(wǎng)絡(luò)攝像頭、路由器、家居安防系統(tǒng)，擴展到了智能電視、智能穿戴設(shè)備，甚至是嬰兒監(jiān)視器，任何有互聯(lián)網(wǎng)連接的IoT設(shè)備都可能成為潛在的目標(biāo)，而一般用戶很難注意到設(shè)備已被感染。由于所有的密碼均固化在IoT設(shè)備固件中，因此即便重啟后Mirai從內(nèi)存中消失，也無法杜絕二次感染。建議開發(fā)者通過端口掃描工具探測一下自己的設(shè)備，是否開啟了SSH，Telnet，HTTP/HTTPS服務(wù)，條件允許的話請禁用SSH和Telnet服務(wù)。

1.2 ?？低曉O(shè)備安全事件

2015年2月27日中午，江蘇省公安廳發(fā)布特急通知《關(guān)于立即對全省?？低暠O(jiān)控設(shè)備進(jìn)行全面清查和安全加固的通知》稱，接省互聯(lián)網(wǎng)應(yīng)急中心通報，江蘇省各級公安機關(guān)使用的杭州海康威視數(shù)字技術(shù)股份有限公司監(jiān)控設(shè)備存在嚴(yán)重安全隱患，部分設(shè)備已經(jīng)被境外IP地址控制，所以要求各地組織力量，對使用的?？低曉O(shè)備進(jìn)行全面清查，并開展安全加固，消除安全漏洞。

隨后，?？低暪俜桨l(fā)布《?？低曖槍Α霸O(shè)備安全”的說明》，稱江蘇省互聯(lián)網(wǎng)應(yīng)急中心通過網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)部分在互聯(lián)網(wǎng)上的?？低曉O(shè)備因弱口令（弱口令包括使用產(chǎn)品初始密碼或其他簡單密碼，如123456、888888、admin等）問題被黑客攻擊，將組織專項應(yīng)急技術(shù)團(tuán)隊，幫助各地市進(jìn)行產(chǎn)品口令修改和固件升級工作。

3月2日，海康威視面向投資者召開了信息披露電話會議，其總經(jīng)理稱：“其他廠家我們不清楚。?？抵鲃优读藘蓚€缺陷，第一個是弱密鑰問題，修改密碼就可以解決；第二個是12月5日我們披露了可能存在的安全隱患RTSP（實時流傳輸協(xié)議）?，F(xiàn)在公司產(chǎn)品的安全漏洞和安全隱患，可以通過改密碼，系統(tǒng)升級來解決?！边@次之所以引發(fā)江蘇公安廳科技信息處發(fā)文，是因為有一小部分監(jiān)控設(shè)備并非普通家用，而是公安系統(tǒng)自用的監(jiān)控設(shè)備，它們也遭到境外IP地址控制。?？低曊{(diào)查后發(fā)現(xiàn)，來自公安系統(tǒng)的監(jiān)控設(shè)備很可能因為使用了互聯(lián)網(wǎng)寬帶服務(wù)進(jìn)行城市治安監(jiān)控而暴露于黑客攻擊范圍中。

1.3 Ripple20事件

2020年6月16日（上個月的事兒！），以色列網(wǎng)絡(luò)安全公司JSOF公布，研究人員在Treck，Inc.開發(fā)的TCP/IP軟件庫中發(fā)現(xiàn)了19個0day漏洞，這一系列漏洞統(tǒng)稱為“Ripple20”。全球數(shù)億臺（甚至更多）IoT設(shè)備可能會受到遠(yuǎn)程攻擊。

研究人員表示，他們將這19個漏洞命名為“Ripple20”并不是說發(fā)現(xiàn)了20個漏洞，而是因為這些漏洞將在2020年及以后的IoT市場中連鎖引發(fā)安全風(fēng)暴。更糟糕的是，研究人員指出，目前發(fā)現(xiàn)的19個“Ripple20”零日漏洞可能只是冰山一角，而且攻擊者的惡意代碼可能會在嵌入式設(shè)備中潛伏多年。

JSOF對Ripple20的安全通告

漏洞詳情

漏洞存在于一個90年代設(shè)計的軟件庫里——物聯(lián)網(wǎng)開發(fā)商廣泛使用的，由一家總部位于辛辛那提的軟件公司Treck在1997年開發(fā)的TCP/IP軟件庫，它實現(xiàn)了輕量級的TCP/IP堆棧。在過去的20多年間，該軟件庫已經(jīng)被廣泛使用并集成到無數(shù)企業(yè)和個人消費者設(shè)備中。

JSOF研究實驗室的研究人員稱， 受影響的硬件幾乎無所不在，包括從聯(lián)網(wǎng)打印機到醫(yī)用輸液泵和工業(yè)控制設(shè)備的海量設(shè)備。

這19個漏洞都是內(nèi)存損壞問題，源于使用不同協(xié)議（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太網(wǎng)鏈路層）在網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包的處理錯誤。

潛在風(fēng)險

仍在使用設(shè)備時，Ripple20構(gòu)成重大風(fēng)險。潛在的風(fēng)險場景包括：

如果面向互聯(lián)網(wǎng)，則來自網(wǎng)絡(luò)外部的攻擊者將控制網(wǎng)絡(luò)中的設(shè)備；已經(jīng)設(shè)法滲透到網(wǎng)絡(luò)的攻擊者可以使用庫漏洞來針對網(wǎng)絡(luò)中的特定設(shè)備；攻擊者可以廣播能夠同時接管網(wǎng)絡(luò)中所有受影響設(shè)備的攻擊；攻擊者可能利用受影響的設(shè)備隱藏在內(nèi)網(wǎng)中；復(fù)雜的攻擊者可能會從網(wǎng)絡(luò)邊界外部對網(wǎng)絡(luò)內(nèi)的設(shè)備進(jìn)行攻擊，從而繞過任何NAT配置。這可以通過執(zhí)行MITM攻擊或dns緩存中毒來完成；在某些情況下，攻擊者可能能夠通過響應(yīng)離開網(wǎng)絡(luò)邊界的數(shù)據(jù)包，繞過NAT，從網(wǎng)絡(luò)外部執(zhí)行攻擊；在所有情況下，攻擊者都可以遠(yuǎn)程控制目標(biāo)設(shè)備，而無需用戶干預(yù)。

Treck于2020年6月22日已經(jīng)發(fā)布了補丁，供OEM使用最新的Treck堆棧版本（6.0.1.67或更高版本）?，F(xiàn)在的主要挑戰(zhàn)是如何讓全球如此多的企業(yè)盡快修復(fù)漏洞，尤其是很多IoT設(shè)備無法安裝補丁程序。針對此重大風(fēng)險，IoT設(shè)備開發(fā)者應(yīng)當(dāng)迅速行動起來。

安卓設(shè)備不用擔(dān)心。主要是RTOS。嵌入式產(chǎn)品是重災(zāi)區(qū)。

1.4 其他智能設(shè)備漏洞事件

兒童智能手表

由于終端與云端通訊時的Web API存在經(jīng)典漏洞，所以安全公司曝光全球范圍內(nèi)很多兒童智能手表供應(yīng)商普遍存在安全防護(hù)問題，包括中國、德國、挪威等供應(yīng)商，估計至少有 4700 萬甚至更多數(shù)量的終端設(shè)備可能受此影響。

安全公司發(fā)現(xiàn)，其中一家廠商的產(chǎn)品（包括貼牌生產(chǎn)的）與云平臺通訊的時候，所有的通訊請求均為未加密的明文JSONAjax（一種輕量級的數(shù)據(jù)交換格式）請求，傳輸信息附帶指定的 ID 號和默認(rèn)密碼 123456，對調(diào)用的合法性也沒有做動態(tài)校驗，給黑客控制兒童智能手表提供了機會。

2018 年 5 月，深圳市消委會曾牽頭編制發(fā)布《深圳市兒童智能手表標(biāo)準(zhǔn)化技術(shù)文件》，試圖從產(chǎn)業(yè)鏈層面解決行業(yè)無標(biāo)準(zhǔn)、無監(jiān)管以及山寨雜牌橫行的亂象，文件里概括性提到了在終端、客戶端、安全管理平臺、數(shù)據(jù)傳輸?shù)葘用娴男畔踩蟆?/p>

電動踏板車

小米M365電動踏板車可以通過藍(lán)牙與手機APP完成交互，藍(lán)牙通信使用密碼加密，以確保遠(yuǎn)程交互的安全性，但是安全人員發(fā)現(xiàn)，在交互認(rèn)證過程中，該密碼并沒有被正確的使用。Zimperium zLabs的研究員Rani Idan 在報告中稱，“我們確定密碼沒有被正確地用作滑板車的認(rèn)證過程的一部分，并且所有命令都可以在沒有密碼的情況下執(zhí)行，密碼僅在應(yīng)用程序端驗證，但車本身不驗證身份?！?于是安全人員開發(fā)了一個專門的驗證應(yīng)用程序，可以掃描附近的小米M365踏板車，并使用踏板車的防盜功能鎖定它們，無需密碼認(rèn)證。

2 物聯(lián)網(wǎng)脆弱之處

如前所述，為什么IoT設(shè)備會如此容易受到攻擊呢？大致總結(jié)四點：

一）設(shè)備本身并不集成安全機制。不像手機、筆記本、臺式機，IoT的操作系統(tǒng)基本上沒有什么防護(hù)能力。原因就在于設(shè)備集成安全機制的成本太高，還會減緩開發(fā)流程，有時候甚至?xí)绊懺O(shè)備性能，如運行速度和容量。

二）設(shè)備直接暴露在互聯(lián)網(wǎng)公網(wǎng)中，同時還可以作為內(nèi)網(wǎng)的一個中轉(zhuǎn)點，給不法之徒開了后門。

三）設(shè)備中含有基于通用的、Linux驅(qū)動的硬件和軟件開發(fā)過程中留下的非必要的功能。設(shè)備應(yīng)用引用的公共類庫，可能年代久遠(yuǎn)、漏洞滿身。存在漏洞的軟件庫不僅由設(shè)備供應(yīng)商直接使用，還集成到大量其他軟件套件中，這意味著許多公司甚至都不知道他們正在使用存在漏洞的代碼。

四）默認(rèn)的身份信息是硬編碼的。這意味著插入設(shè)備就可以運行，而不會創(chuàng)建唯一的用戶名和密碼。甚至根證書、密鑰等機密信息也都以文本文件的形式燒入固件之中。

3 我們的防范措施

措施主要分為三類：管理、硬件、軟件。

管理方面的防范措施：

從項目立項、配送、綁定、激活，到正式投入使用以及后期的回收、報廢，都是基于一套完整的中臺系統(tǒng)，方便跟蹤設(shè)備流轉(zhuǎn)的整個鏈條，確保設(shè)備流轉(zhuǎn)安全。通過監(jiān)控設(shè)備坐標(biāo)位置、定期自動排查偏離校區(qū)的設(shè)備，確保設(shè)備應(yīng)用在校園封閉式環(huán)境中。按餐飲中心維度監(jiān)控設(shè)備上的流量、網(wǎng)絡(luò)請求、應(yīng)用安裝等情況，可以排查惡意使用行為和異常流量。對設(shè)備的運行情況、流量、異常信息、軟硬件使用情況監(jiān)控匯報，實時分析和度量設(shè)備的健康度。

硬件及存儲方面：

采用安全級處理器，具備加密引擎、SecureBoot、TrustZone。采用業(yè)界領(lǐng)先的3D結(jié)構(gòu)光攝像頭，可實現(xiàn)金融級安全，確保支付安全。接口安全：①調(diào)試串口隱藏不外露，且默認(rèn)禁用；②I2C/SPI/MIPI等總線接口隱藏，在PCB內(nèi)層；③JTAG/SWD接口隱藏不外露，且默認(rèn)禁用；④USB/UART或者其他編程接口關(guān)閉。設(shè)備具有唯一的識別號（設(shè)備SN號），便于個性化安全管控。

系統(tǒng)及接口方面：

基于安卓系統(tǒng)定制安全系統(tǒng)，用自定義的簽名文件作為系統(tǒng)簽名。系統(tǒng)禁用root權(quán)限，關(guān)閉開發(fā)者模式。關(guān)閉了 ADB 服務(wù)接口、USB 調(diào)試接口、WIFI 等接口。開啟 SE 安全模式，嘗試TEE運行安全區(qū)，防止沒有啟用 SeLinux 使得設(shè)備陷入遠(yuǎn)程代碼執(zhí)行、遠(yuǎn)程信息泄露、遠(yuǎn)程拒絕服務(wù)等危險之中。SeLinux 是 Security Enhanced Linux 的縮寫。TEE 是 Trusted ExecutionEnvironment 的縮寫。啟用SECURE BOOT，并校驗uboot、boot、system分區(qū)。防止被黑客刷入惡意篡改的固件或分區(qū)鏡像，植入木馬從而被遠(yuǎn)程控制。固件支持遠(yuǎn)程OTA，且OTA有加密加簽的安全校驗機制，確保升級過程的安全性。系統(tǒng)內(nèi)置自定義的安全桌面，屏蔽第三方惡意應(yīng)用安裝，杜絕軟件風(fēng)險。需要憑“設(shè)備授權(quán)碼”才能修改系統(tǒng)配置，包括修改網(wǎng)絡(luò)配置等。

軟件方面：

自主授權(quán)和簽名方式，有效防止非法第三方應(yīng)用安裝所帶來的風(fēng)險。應(yīng)用關(guān)鍵信息so庫化，防止反編譯帶來關(guān)鍵信息泄露的風(fēng)險。應(yīng)用目錄權(quán)限嚴(yán)格遵守安卓系統(tǒng)規(guī)范。應(yīng)用通信基于HTTPS（HTTP通訊模式下），和MQTT+TLS 1.3（物聯(lián)網(wǎng)通訊模式下）。

4 本章小結(jié)

本章主要介紹了IoT設(shè)備近期發(fā)生的幾起危害遍及全球的大案，從中我們可以發(fā)現(xiàn)IoT設(shè)備安全性薄弱之處，從而可以有針對性地在設(shè)備管理、硬件和存儲、系統(tǒng)和軟件這三個層面上做出防范措施和規(guī)范流程。
? ? ? ?責(zé)任編輯:pj