近年來,智能家居技術(shù)和產(chǎn)業(yè)鏈快速發(fā)展,應(yīng)用場景持續(xù)豐富,給家庭生活帶來極大地便利性和舒適性。隨之而來的有關(guān)智能家居設(shè)備的安全性也逐漸受到消費(fèi)者的關(guān)注。一方面,智能家居設(shè)備從傳統(tǒng)的接觸式操控變?yōu)檫h(yuǎn)程網(wǎng)絡(luò)操控后,網(wǎng)絡(luò)安全威脅提升。攻擊者可以通過網(wǎng)絡(luò)遠(yuǎn)程攻擊,繼而入侵和操控智能家居設(shè)備,不僅帶給消費(fèi)者使用困擾,甚至可能帶來生命財(cái)產(chǎn)安全風(fēng)險。另一方面,智能家居設(shè)備與云端、其它智能設(shè)備、消費(fèi)者之間都在頻繁交互,采集并儲存了大量消費(fèi)者信息,信息泄露風(fēng)險提升。這些信息不乏一些涉及消費(fèi)者的重要隱私,容易成為攻擊者竊取的目標(biāo)。
2021年11月至2022年2月,上海市消保委聯(lián)合第三方專業(yè)機(jī)構(gòu)開展了智能家居設(shè)備安全性能測試。我們在各主流電商平臺上選取了6款搜索排名靠前的智能門鈴和門禁產(chǎn)品,并對以下功能進(jìn)行測試。
測試結(jié)果顯示:
主要安全漏洞如下:
一、攻擊者可以通過抓包軟件繞過認(rèn)證,獲取服務(wù)端或客戶端的大量信息。消費(fèi)者個人信息遭到泄露。
如我們發(fā)現(xiàn)D品牌、F品牌等存在認(rèn)證繞過漏洞,攻擊者可以將提交到服務(wù)端的驗(yàn)證數(shù)據(jù)包進(jìn)行抓取,然后對其暴力破解,就能繞開認(rèn)證并查看到服務(wù)端存儲的大量用戶信息,也可以在客戶端進(jìn)行抓包并修改回應(yīng)包,看到用戶個人信息。
D品牌漏洞測試詳情:打開抓包軟件,即可看到用戶手機(jī)號,姓名,年齡,公司住址等信息。
F品牌漏洞測試詳情:登錄小程序,抓取設(shè)備界面數(shù)據(jù)包,發(fā)現(xiàn)有一個未加密顯示手機(jī)號的數(shù)據(jù)包。通過修改手機(jī)號,可越權(quán)查看他人所擁有的設(shè)備。
二、攻擊者可以通過簡單粗暴的“抓包”加暴力破解弱密碼,利用漏洞組合獲取用戶的賬號和密碼,登錄后獲得他人攝像頭、麥克風(fēng)等權(quán)限,可以自由調(diào)取錄像,甚至聽取房間家庭成員間的交談。消費(fèi)者的隱私難以保障。
如我們測試B品牌時,攻擊者先通過“抓包”,挖掘出用戶手機(jī)號碼。如果該用戶密碼設(shè)置過于簡單,比如默認(rèn)密碼或是簡單的數(shù)字密碼,攻擊者繼而暴力破解,對密碼逐個推算,反復(fù)試錯,得到相應(yīng)的密碼,登錄后竊取用戶隱私。
B品牌漏洞測試詳情:進(jìn)入平臺社區(qū)交流界面,可看到經(jīng)過*號處理過的手機(jī)號,抓包查看返回包,即可得到該用戶手機(jī)號碼。
再暴力破解獲得弱密碼,成功登陸,并可以查看相關(guān)重要信息。
三、攻擊者可以利用應(yīng)用程序傳參驗(yàn)證過濾不嚴(yán),在后臺不知情的條件下實(shí)現(xiàn)非法授權(quán)和操作,導(dǎo)致攻擊者構(gòu)造的數(shù)據(jù)庫代碼被后臺執(zhí)行。攻擊者可以未經(jīng)授權(quán)訪問數(shù)據(jù)庫,結(jié)合其他漏洞實(shí)現(xiàn)遠(yuǎn)程開電子門鎖等功能,消費(fèi)者居家安全面臨風(fēng)險。
如我們發(fā)現(xiàn)D品牌設(shè)備的管理后臺存在3處該漏洞。同時,該設(shè)備的開門小程序也存在缺陷,簡單重復(fù)此開門包,攻擊者就能實(shí)現(xiàn)遠(yuǎn)程任意開門。
D品牌漏洞測試詳情:
第一處:通過ascii來爆破數(shù)據(jù)庫用戶的第一個字符。
漏洞參數(shù)是login_account。
第二處:使用user可直接獲取數(shù)據(jù)庫用戶名。
第三處:嘗試使用相關(guān)工具可直接注入出目標(biāo)數(shù)據(jù)庫的所有消息。
此外,這些設(shè)備還存在中間人攻擊、存儲型XSS、文件上傳等漏洞,而且不少產(chǎn)品屬于相同設(shè)備代工生產(chǎn),同質(zhì)化情況較為嚴(yán)重。
雖然本次模擬黑客攻擊的測試針對的是智能門鈴和智能門禁類產(chǎn)品,但智能化家電家居設(shè)備在底層技術(shù)、通用硬件、數(shù)據(jù)后臺等方面有高度的類同性。專家組判斷,市場上相當(dāng)比例的智能家居產(chǎn)品信息安全水平普遍較低,對于消費(fèi)者隱私存著較大風(fēng)險。
下一步,上海市消保委將持續(xù)關(guān)注智能家居安全性能,并建議:一是消費(fèi)者盡量選購大品牌智能家居產(chǎn)品,盡量選購具有輸入錯誤報(bào)警和防破壞報(bào)警功能的產(chǎn)品,日常使用過程中提高數(shù)字密碼安全系數(shù),并樹立網(wǎng)絡(luò)安全防范意識,及時更新系統(tǒng)、升級固件;二是智能家居廠商要不斷提升終端設(shè)備安全性能等級,同時加強(qiáng)云端數(shù)據(jù)安全管理,把重心從營銷轉(zhuǎn)移到技術(shù)研發(fā)上;三是相關(guān)部門要盡快開展智能家居產(chǎn)品安全性能調(diào)研,排摸相關(guān)風(fēng)險,針對技術(shù)、系統(tǒng)漏洞帶來的危害和風(fēng)險出臺相關(guān)的安全標(biāo)準(zhǔn)和規(guī)范。
