设计缺陷导致“智能家庭”物联网设备存在安全漏洞
立即发布
北卡罗来纳州立大学的研究人员发现了“智能家居”物联网(IoT)设备的设计缺陷,这些设备允许第三方阻止设备共享信息。这些漏洞可以用来防止安全系统发出有人入侵的信号或上传入侵者的视频。
“物联网设备正变得越来越普遍,人们期望它们能对我们的安全和保障做出贡献,”北卡罗来纳州大学计算机科学副教授、一篇关于这一发现的论文的合著者威廉恩克(William Enck)说。“但我们发现,这些设备的设计存在广泛的缺陷,可能会阻止它们向房主通报问题或执行其他安全功能。”
“从本质上讲,这些设备的设计是基于无线连接是安全的,不会被中断的假设——但情况并不总是这样,”论文的合著者、北卡罗来纳州大学计算机科学助理教授布拉德利·里夫斯说。“然而,我们已经找到了解决这些漏洞的潜在方案。”
具体来说,研究人员发现,如果第三方可以黑进一个家庭的路由器——或者已经知道密码——他们可以上传网络层抑制恶意软件到路由器上。这种恶意软件允许设备上传它们的“心跳”信号,表明它们在线且正常运行——但它会屏蔽与安全相关的信号,比如当运动传感器被激活时。这些抑制攻击可以在现场或远程进行。
恩克说:“这些攻击如此严重的一个原因是,系统告诉房主一切正常,而不管家里实际发生了什么。”
这些网络层抑制攻击是可能的,因为对于许多IOT设备,很容易将心跳信号与其他信号区分开来。并解决设计特征可能指向解决方案的方式。
这篇论文的第一作者、北卡罗来纳州大学的博士生TJ O 'Connor说:“一个潜在的解决方法是让心跳信号与其他信号难以区分,这样恶意软件就不能有选择性地允许心跳信号通过。”
“另一种方法是在心跳信号中包含更多的信息,”奥康纳说。“例如,如果一个设备发送三个动作传感器警报,随后的心跳信号将包括记录三个传感器警报发送的数据。即使网络层抑制恶意软件阻止了传感器警报信号,系统也会看到心跳信号,并知道发送了三个传感器警报但没有接收到。这可能会触发对房主的系统警告。”
Enck说:“没有一个系统是完美的,但考虑到物联网设备的广泛采用,我们认为提高对对策的认识很重要,设备设计师可以利用这些对策来减少受到攻击的风险。”
纸”,盲与惑:揭示智能家居物联网设备遥测系统的缺陷将于5月15日至17日在佛罗里达州迈阿密举行的第12届ACM无线和移动网络安全与隐私会议(WiSec’19)上发表。
希普曼-
编辑报告:研究摘要如下。
“盲与惑:揭示智能家居物联网设备遥测系统缺陷”
作者: TJ O’connor, William Enck和Bradley Reaves,北卡罗莱纳州立大学
提出了: WiSec ' 19, 5月15日至17日,佛罗里达州迈阿密
文摘:智能家居设备的始终如一,始终连接的性质使互联网(物联网)安全和隐私复杂化。与传统主机不同,IOT设备不断向基于云的服务器发送传感器,状态和心跳数据。这些数据通道需要可靠,日常通信,该通信通常与IOT设备的存储和功率约束有可能。虽然近期普遍加密等努力已经解决了保护数据,但仍然很少有助于保护始终连接设备的完整性和可用性的设计机制。本文旨在通过研究IoT遥测消息传递协议周围的供应商设计决策,更好地了解智能家居设备安全性,具体而言,当IoT设备失去连接时所采取的行为。要了解这一点,我们假设并评估传感器致盲和状态混淆攻击,从而测量它们对智能家庭IOT设备类型数组的效力。我们的分析在设计向云中的遥测中揭示了遥测的遥测,并且缓冲器无法正确缓存未交付的数据。我们发现22个研究的设备中的22个患有关键设计缺陷(1)启用攻击透明地破坏设备状态警报的报告或(2)防止上传内容积分对设备的核心功能。我们通过考虑这些调查结果的影响并提供未来防守的指示来得出结论。虽然最先进的缺乏实施缺陷,但有几个对策IOT供应商可能会采取措施来减少他们对这种性质的攻击。
