现实世界的物联网黑客攻击以及如何解决暴露的漏洞

　　您是否知道破解物联网设备是多么容易？除了显而易见的 - 大多数物联网设备缺乏安全性 - 这很容易，因为黑客可以使用一系列令人惊讶的软件和硬件工具，这些工具往往使他们发现和利用物联网漏洞的工作变得微不足道。这些工具利用不安全的接口，反编译固件，模拟和分析代码，以发现导致网络漏洞的缺陷。没有适当网络安全的物联网设备可以在几个小时内被黑客入侵，如果没有网络安全，可以在几分钟内被黑客入侵。

　　本文是系列文章的第三部分，该系列文章探讨了现实世界的物联网黑客攻击以及如何解决暴露的漏洞。目标是通过提供可缓解攻击的控制措施，帮助您提高物联网设备的网络安全。在第一篇文章“从殖民地管道攻击中吸取的教训”中，我们回答了为什么勒索软件攻击导致操作技术系统（即管道）关闭的问题。第二篇题为《汽车网络安全：进展，但仍有改进空间》，通过比较5年前的努力水平和攻击结果与去年披露的攻击结果，回顾了汽车网络安全的进展程度。

　　在这里，我们将回顾网络对手用来攻击物联网设备的工具。揭露办公室电话中真实漏洞的方法将说明这些工具的用法。通过使用硬件和软件工具，发现了许多缺陷。但是，基本安全功能（包括软件更新和加密代码）可缓解攻击。在这种情况下，代码加密不仅是为了保护敏感数据，也是为了保护设备的整体安全免受这些黑客工具的攻击，使代码的纯文本列表几乎不可能获得。

　　在33种不同的VoIP办公电话中发现40个漏洞的工作是由弗劳恩霍夫FIT的斯蒂芬·胡贝尔和菲利普·罗斯科什完成的，并在DEFCON 27上进行了介绍。发现的漏洞类型多种多样。总共有13个，包括错误的加密，堆栈溢出以及无需身份验证即可更改的密码。从闪存转储固件以访问代码的纯文本列表被广泛使用。这对逆向工程工作和识别漏洞有很大帮助。静态和动态分析都用于提取的纯文本代码。如果这些手机包括安全启动，闪存加密和安全软件更新，那么访问纯文本列表并找到要利用的弱点将变得更加困难。

　　尝试获取纯文本代码通常是黑客采取的第一步。由于纯文本列表的价值，尝试了许多不同的方法来提取它。在这项研究中，一个是检查固件是否直接从制造商处获得。另一种方法是触发软件更新，如果未加密，则嗅探已下载网络流量的数据包以获取纯文本代码列表。使用 HTTPS（即加密）发送的更新可关闭此漏洞。第三种方法，也是最常用的方法，是从手机本身获取代码。

　　有数量惊人的逆向工程/黑客工具可用。电话研究使用工具来获取root访问权限，提取代码并模拟提取的代码。用于提取代码的工具包括快速优化和 JTA 检测器。两者都使用串行终端和来自PC的USB连接。BuSPIrate被描述为“开源黑客多工具”。它可以与 I2C、SPI、JTAG 和其他几个接口接口。JTA 检测器将检测与 JTAG/IEEE 1149.1、ARM 单线调试 （SWD） 或 UART 引脚的连接。当电路板的调试接口未知时，JTAGulator的检测功能使建立连接变得更加容易，因为它会自动识别接口类型。它将通过不同的引脚排列运行，并寻找与这三种协议之一的匹配。

　　一旦从手机中提取了纯文本代码，就使用软件模拟工具。其中包括QEMU和独角兽。QEMU是一个开源的模拟器/虚拟化器，支持模拟特定的操作系统（Linux，视窗等）和指令集（MIPS，ARM，x86）。在这项研究中，QEMU工具的ARM / MIPS处理器内核仿真功能与gdb一起使用，以获取代码痕迹。独角兽是基于QEMU的CPU仿真器，但重量更轻，并提供一些附加功能，包括仪器仪表。

　　其他未用于手机安全研究但值得一提的仿真工具是Ghidra（由NSA开发），IDA Pro和Angr。吉德拉和 IDA Pro 是逆向工程工具，支持对多种处理器类型（包括 x86、ARM、PPC、MIPS、MSP430 和 AVR32）的二进制文件进行反编译。Angr 是用于分析二进制文件的 Python 框架。它使用静态和动态符号分析。

　　由于这些工具很容易实现物联网设备的逆向工程，从而揭示代码中的漏洞，因此保护物联网设备免受这些工具的利用至关重要。为了防止代码被轻易提取，串行/JTAG接口应该被锁定。此外，对于纵深防御方法，代码也应该加密。这提供了另一层保护，以防器件的接口受到损害，或者使用其他方法来破坏非易失性存储器。

　　采用了多种方法从各种手机的闪存中获取代码。布施浦酸盐和 JTA 检测器器件用于通过 SPI、UART 或 JTAG 接口获得访问。已检查 UART 接口是否具有命令接口的引导加载程序或对 Linux 外壳的可能根访问权限。基于 IP 的方法会导致内存转储和 Telnet 命令注入产生根访问权限。如果闪存中的代码是加密的，则访问代码清单将更加困难。

　　由于访问纯文本代码，多个漏洞被利用。如果没有这些代码清单，识别这些缺陷将更加困难。它们有助于识别以下漏洞：未经授权远程更改管理员密码，在代码中找到管理员密码的硬编码密钥以及弱密码加密方案。在另一部手机中，使用了DES加密方案，该方案并不安全。DES于40多年前推出，现在可以使用一台现代PC在合理的时间内（几天）进行暴力破解。

　　这项工作中存在的许多漏洞在运行时被利用。这突出了拥有良好运行时保护的重要性，例如使用受信任的执行环境，如TrustZone和入侵检测系统（IDS）软件，这些软件可以检测由于攻击而导致的代码操作变化。

　　审核编辑：郭婷