您知道破解物聯(lián)網(wǎng)設(shè)備有多容易嗎？除了顯而易見的 - 大多數(shù)物聯(lián)網(wǎng)設(shè)備缺乏安全性 - 這很容易，因?yàn)?a href="http://www.makelele.cn/v/tag/10353/" target="_blank">黑客可以使用一系列令人驚訝的軟件和硬件工具，這些工具往往使他們查找和利用物聯(lián)網(wǎng)漏洞的工作變得微不足道。這些工具利用不安全的接口，反編譯固件，模擬和分析代碼，以查找導(dǎo)致網(wǎng)絡(luò)漏洞的缺陷。沒有適當(dāng)網(wǎng)絡(luò)安全的物聯(lián)網(wǎng)設(shè)備可以在幾個小時內(nèi)被黑客入侵，如果沒有網(wǎng)絡(luò)安全，可以在幾分鐘內(nèi)被黑客入侵。在最近的DEFCON會議上，一些更著名的物聯(lián)網(wǎng)設(shè)備黑客包括Apple Air Tags，Sonos網(wǎng)絡(luò)音頻設(shè)備以及Landis和Gyre電表。

本文是該系列文章的第三部分，該系列文章探討了現(xiàn)實(shí)世界的物聯(lián)網(wǎng)黑客攻擊以及如何解決暴露的漏洞。目標(biāo)是通過提供可以緩解攻擊的控制來幫助您改善物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全。

在這里，我們將回顧網(wǎng)絡(luò)對手用來攻擊物聯(lián)網(wǎng)設(shè)備的工具。暴露辦公電話中實(shí)際漏洞的方法將說明這些工具的使用。通過使用硬件和軟件工具，發(fā)現(xiàn)了許多缺陷。但是，基本安全功能（包括軟件更新和加密代碼）可以緩解攻擊。在這種情況下，代碼加密不僅是為了保護(hù)敏感數(shù)據(jù)，而且還通過使代碼的純文本列表幾乎不可能獲得來保護(hù)設(shè)備的整體安全性免受這些黑客工具的侵害。

在33種不同的VoIP辦公電話中發(fā)現(xiàn)40個漏洞的工作由Fraunhofer FIT的Stephan Huber和Philipp Roskosch完成，并在DEFCON 27上展示。發(fā)現(xiàn)的漏洞類型多種多樣?？偣灿惺齻€，包括錯誤的加密，堆棧溢出和無需身份驗(yàn)證即可更改的密碼。從閃存轉(zhuǎn)儲固件以訪問純文本代碼列表被廣泛使用。這極大地幫助了逆向工程工作和識別漏洞。對提取的純文本代碼都使用了靜態(tài)和動態(tài)分析。如果這些手機(jī)包括安全啟動、閃存加密和安全軟件更新，那么訪問純文本列表和找到可以利用的弱點(diǎn)就會變得更加困難。

嘗試獲取純文本代碼通常是黑客采取的第一步。由于純文本列表的價值，嘗試了許多不同的方法來提取它。在這項(xiàng)研究中，一個是檢查固件是否直接從制造商處獲得。另一種方法是觸發(fā)軟件更新，如果未加密，則嗅探下載的網(wǎng)絡(luò)流量的數(shù)據(jù)包以獲取純文本代碼列表。使用 HTTPS（即加密）發(fā)送的更新可關(guān)閉此漏洞。第三種方法，也是最常用的方法是從手機(jī)本身獲取代碼。

有數(shù)量驚人的逆向工程/黑客工具可用。電話研究使用工具來獲取根訪問權(quán)限、提取代碼和模擬提取的代碼。用于提取代碼的工具包括BuSPIrate和JTAGulator。兩者都使用串行終端和來自PC的USB連接。BuSPIrate被描述為“開源黑客多工具”。它可以連接到I2C，SPI，JTAG和其他幾個。JTAGulator將檢測與JTAG/IEEE 1149.1、ARM單線調(diào)試（SWD）或UART引腳的連接。當(dāng)電路板的調(diào)試接口未知時，JTAGulator的檢測功能使連接變得更加容易，因?yàn)樗鼤詣幼R別接口類型。它將運(yùn)行不同的引腳排列，并尋找與這三種協(xié)議之一的匹配項(xiàng)。

一旦從手機(jī)中提取純文本代碼，就使用軟件模擬工具。其中包括QEMU和獨(dú)角獸。QEMU是一個開源模擬器/虛擬器，支持特定操作系統(tǒng)（Linux，Windows等）和指令集（MIPS，ARM，x86）的仿真。在這項(xiàng)研究中，將QEMU工具的ARM/MIPS處理器內(nèi)核仿真功能與gdb一起使用，以獲取代碼痕跡。Unicorn是基于QEMU的CPU仿真器，但重量更輕，并提供一些附加功能，包括儀器。

其他未用于電話安全研究但值得一提的仿真工具是Ghidra（由NSA開發(fā)），IDA Pro和Angr。Ghidra 和 IDA Pro 是逆向工程工具，支持多種處理器類型的二進(jìn)制文件反編譯，包括 x86、ARM、PPC、MIPS、MSP430 和 AVR32。Angr是一個用于分析二進(jìn)制文件的Python框架。它使用靜態(tài)和動態(tài)符號分析。

由于這些工具很容易實(shí)現(xiàn)物聯(lián)網(wǎng)設(shè)備的逆向工程，從而揭示代碼中的漏洞，因此保護(hù)物聯(lián)網(wǎng)設(shè)備免受這些工具的利用至關(guān)重要。為了防止代碼的簡單提取，應(yīng)鎖定串行/JTAG接口。此外，對于縱深防御方法，還應(yīng)加密代碼。這提供了另一層保護(hù)，以防設(shè)備的接口受到損害或使用其他方法破壞非易失性存儲器。

采用多種方法從各種手機(jī)的閃存中獲取代碼。BuSPIrate和JTAGultor器件用于通過SPI，UART或JTAG接口進(jìn)行訪問。檢查了UART接口是否存在具有命令接口的引導(dǎo)加載程序或?qū)inux shell的可能root訪問權(quán)限?；?IP 的方法會導(dǎo)致內(nèi)存轉(zhuǎn)儲，而 Telnet 命令注入會產(chǎn)生根訪問權(quán)限。如果閃存中的代碼是加密的，則訪問代碼清單將更加困難。

由于訪問純文本代碼，幾個漏洞被利用。如果沒有這些代碼清單，識別這些缺陷將更加困難。他們有助于識別以下漏洞：未經(jīng)授權(quán)遠(yuǎn)程更改管理員密碼，在代碼中發(fā)現(xiàn)管理員密碼的硬編碼密鑰，以及弱密碼加密方案。在另一部手機(jī)中，使用了 DES 加密方案，這并不安全。DES 是在 40 多年前推出的，現(xiàn)在可以使用一臺現(xiàn)代 PC 在合理的時間（幾天）內(nèi)進(jìn)行暴力破解。

這項(xiàng)工作中出現(xiàn)的許多漏洞都是在運(yùn)行時被利用的。這突出了擁有良好的運(yùn)行時保護(hù)的重要性，例如使用可信的執(zhí)行環(huán)境，如 TrustZone 和入侵檢測系統(tǒng) （IDS） 軟件，可以檢測由于攻擊而導(dǎo)致的代碼操作變化。

審核編輯：郭婷