嚴 寒,彭國軍,羅 元,劉思德

1武漢大學 空天信息安全與可信計算教育部重點實驗室 武漢 中國 430072

2武漢大學 國家網(wǎng)絡安全學院 武漢 中國 430072

1 引言

物聯(lián)網(wǎng)被人們視作繼計算機、互聯(lián)網(wǎng)之后信息技術產(chǎn)業(yè)的第三次革命,在泛在化物聯(lián)網(wǎng)構建的場景中,人與物之間跨越了時間和空間的約束,被緊緊聯(lián)接在一起。根據(jù)麥卡錫公司[1]的分析估計,到2025年,物聯(lián)網(wǎng)(the Internet of Things,IoT)每年潛在的經(jīng)濟總影響為3.9萬億至11.1萬億美元,其中,智能家居作為物聯(lián)網(wǎng)的一大發(fā)展方向,經(jīng)濟規(guī)模將達到2千億至3千億美元。尚在蓬勃發(fā)展中的智能家居市場被傳統(tǒng)的家居制造企業(yè)和新興的互聯(lián)網(wǎng)公司視作金礦,各大廠商紛紛研發(fā)推出自己的智能家居系統(tǒng),并向消費者提供配套的智能設備、云平臺及移動應用程序,國外廠商如三星的SmartThings[2]、亞馬遜的 AWS[3]、蘋果的 HomeKit[4]、谷歌的 Weave/Brillo[5]和微軟的Azure[6],國內主要有阿里云IoT[7]、華為HiLink[8]和小米MiJia[9]。

在智能家居產(chǎn)業(yè)飛速發(fā)展的過程中,其安全狀態(tài)卻不容樂觀。廠商急于開發(fā)出新功能和新產(chǎn)品吸引消費者從而擴大智能家居市場份額,但受到產(chǎn)品上市時間以及研發(fā)成本的限制,安全人員無法在開發(fā)周期中投入足夠多和廣泛的安全測試工作。這些產(chǎn)品安全的疏忽加上智能家居潛在的經(jīng)濟效應,吸引了許多黑客組織對智能家居系統(tǒng)進行漏洞挖掘和利用。

針對智能家居系統(tǒng)最常見的有兩種攻擊場景,一種是黑客利用設備漏洞對設備進行遠程控制或者獲取智能家居系統(tǒng)中的隱私數(shù)據(jù),比如 Nest恒溫器在主人不知情的情況下打開了攝像頭[10]; 黑客通過飛利浦嬰兒攝像頭的漏洞可以監(jiān)控嬰兒[11]。除對用戶的隱私造成侵犯之外,由于智能家居設備具有對物理世界的操作功能,非法的攻擊行為甚至可能對消費者的財產(chǎn)及生命安全帶來威脅,比如攻擊者可以對智能門鎖進行控制操作,從而非法闖入用戶的家,竊取物理財產(chǎn)。

另一種是利用設備安全缺陷控制大規(guī)模的設備,形成僵尸網(wǎng)絡從而發(fā)動分布式拒絕服務攻擊(Distributed Denial of Service,DDoS),比如2016年席卷全美國的“Mirai僵尸網(wǎng)絡[12]”以及后來的效仿者,就利用了供應商留下的后門[14-15]、不安全的應用服務以及許多設備暴露在公網(wǎng)之上的弱點,在設備之間快速傳播惡意代碼,利用大量的智能家居設備形成的僵尸網(wǎng)絡,造成網(wǎng)絡癱瘓、設備拒絕服務等嚴重后果,對社會的經(jīng)濟活動及人們的日常生產(chǎn)生活造成極大的損失。

供應商及安全研究人員已經(jīng)意識到問題的嚴重性,采取一系列的措施來保障智能家居的安全,但智能家居安全所面臨的最大挑戰(zhàn)在“大”“多”“雜”。智能家居終端節(jié)點組成的網(wǎng)絡巨大、設備數(shù)量繁多,因此智能設備每天都會采集大量異質數(shù)據(jù)交給云平臺進行處理; 盡管大多數(shù)設備都是基于嵌入式Linux操作系統(tǒng)的,但設備的特定功能造成設備運行的服務、網(wǎng)絡協(xié)議、硬件配置都有所差異,這些差異使得安全研究人員很難采取統(tǒng)一的安全分析和防護手段來保護智能家居產(chǎn)品。

相較于傳統(tǒng)PC及嵌入式設備,智能家居擁有更復雜的應用場景?？傮w來說,智能家居系統(tǒng)可以分為云平臺、通信管道、終端設備以及移動應用程序四個層面。云平臺作為整個生態(tài)系統(tǒng)的中樞大腦,其主要安全問題包括平臺邏輯缺陷、權限粒度過粗、語音識別漏洞、用戶隱私保護和設備恢復與診斷; 終端設備是整個系統(tǒng)中最不可信的一端,而固件安全又是設備安全的基石,由此產(chǎn)生了大量針對固件提取以及固件安全啟動與更新的攻擊和防御手段,此外,設備用于采集數(shù)據(jù)的傳感器也是黑客關注的焦點;在移動應用程序方面,權限、數(shù)據(jù)存儲及編程質量存在著大量安全問題; 作為連接三個端點的管道,通信協(xié)議錯綜復雜,主要有明文傳輸及中間人攻擊兩大風險。

需要指出的是,目前國內外的學術界及工業(yè)界對智能家居的攻擊及防御方法有很多的研究工作,但這些工作較為分散,本文將系統(tǒng)地梳理研究脈絡和重點,對研究熱點和難點進行整體論述和分析,為學術界和相關從業(yè)者提供一定的參考。

本文主要有如下兩部分的工作和貢獻:

(1) 從智能家居設備、配套的移動應用程序、云平臺和相關的通信管道等四個方面,梳理目前針對智能家居系統(tǒng)的攻擊技術和防御措施,并針對性地分析安全現(xiàn)狀及梳理安全發(fā)展歷程。

(2) 對與物聯(lián)網(wǎng)安全和隱私相關的學術研究進行梳理分析,包括近年來學術界的安全研究人員關注的熱點話題以及技術難點,主要介紹針對終端設備的自動化漏洞挖掘技術發(fā)展情況,以及主流物聯(lián)網(wǎng)平臺面對動態(tài)設備威脅時所采用的防御手段,并對現(xiàn)有工作的不足之處進行討論,提出了在安全最佳實踐快速迭代情況下端側自動化威脅模型系統(tǒng)的設計思路。

本文的組織結構如下: 第 2章結合智能家居應用模型論述智能家居安全現(xiàn)狀,包括物聯(lián)網(wǎng)中常見的漏洞類型及惡意程序; 第 3章分別從應用模型的四個方面進行攻擊與防御技術的綜述; 第 4章對當前物聯(lián)網(wǎng)安全領域的熱點及技術難點進行討論,并提出端側自動化威脅模型的設計思路; 第 5章總結全文并展望。

2 智能家居安全現(xiàn)狀

智能家居在高速發(fā)展及大規(guī)模應用的過程中,頻頻爆發(fā)出影響巨大的安全事件,這也引發(fā)了民眾對個人隱私數(shù)據(jù)及資產(chǎn)的擔憂。

本節(jié)將提出智能家居應用模型,從智能家居與傳統(tǒng)互聯(lián)網(wǎng)和計算機不同的特性出發(fā),對典型的物聯(lián)網(wǎng)漏洞類型與惡意代碼進行總結和分析,闡明智能家居設備的安全現(xiàn)狀。

2.1 智能家居應用模型

信息物理系統(tǒng)(Cyber Physical Systems,CPS)和IoT在其解決方案和體系結構中有很多相似性,但具體實現(xiàn)和側重點有所差異。CPS是一個綜合了計算、網(wǎng)絡和物理環(huán)境的多維復雜系統(tǒng),用戶通過人機交互接口來監(jiān)督和控制物理環(huán)境,操作結果由物理環(huán)境反饋給計算機,正如互聯(lián)網(wǎng)改變了人類彼此交互的方式一樣,網(wǎng)絡物理系統(tǒng)也將改變我們與周圍物理世界的交互方式。IoT與CPS的區(qū)別在于CPS不一定連接到互聯(lián)網(wǎng)(Internet)中,IoT強調設備之間的連接性,而 CPS強調嵌入式部分。智能家居是 IoT的子集,是IoT在家庭領域的具體應用場景,家庭用戶和云平臺的出現(xiàn),使得智能家居相較于傳統(tǒng) IoT,時刻面臨著新的復雜攻擊,例如隱私泄漏和分布式僵尸網(wǎng)絡等。因此,智能家居安全需要研究者從不同于以往CPS和IoT安全的角度出發(fā),來發(fā)現(xiàn)問題和設計防護方案。本文主要總結和分析智能家居領域的攻擊方法和防御措施。

為了以統(tǒng)一的方式管理數(shù)量不斷增長的各種智能家居設備,許多公司提出了他們的智能家居平臺,各個廠商設計的智能家居系統(tǒng)各有差異,但通過對國內外智能設備云平臺的研究分析,可以抽象出統(tǒng)一的拓撲結構,如圖1所示。

圖1 智能家居系統(tǒng)部署拓撲圖Figure 1 Topology diagram of smart home system deployment

拓撲圖里面包含三個交互的實體: 云平臺、智能家居終端設備、移動應用程序,三個端點之間通過Wi-Fi、藍牙等通信管道傳輸數(shù)據(jù),其中用戶對終端設備和 APP有直接的控制權,云平臺還會通過 API接口向廠商及第三方伙伴提供服務。各實體功能主要如下:

云平臺:云平臺是智能家居系統(tǒng)的大腦。它主要承擔四個功能,分別是: 設備綁定、設備命令控制、家庭自動化以及開發(fā)者管理。首先,設備綁定需要在設備首次部署時建立所有者賬戶與所有設備之間一一映射的關系,以保證只有合法的授權用戶可以對設備進行命令控制; 其次,授權用戶向設備發(fā)送的控制命令需要通過云平臺進行處理和轉發(fā); 另外,大多數(shù)智能家居系統(tǒng)提供家庭自動化服務,用戶可以定義一系列事件規(guī)則以完成自動化,比如當接近下班時間時,房間的空調自動打開,用戶回到家后無需再等待溫度降低的過程; 最后,設備廠商可以通過云平臺對設備做統(tǒng)一管理,比如下發(fā)固件更新、異常日志處理、大數(shù)據(jù)態(tài)勢感知等。

智能家居終端設備:常見的智能家居設備包括:攝像頭、路由器、音箱、燈泡、門鎖等。以智能音箱為例,其硬件架構如圖2所示,設備通常配置了各種傳感器從物理世界采集數(shù)據(jù),在本地簡單格式化之后將數(shù)據(jù)發(fā)送給云平臺,并將云平臺反饋的信息顯示給用戶。設備有兩種典型的通信管道可以連接到云平臺: (a)配有無線網(wǎng)卡的設備可以通過Wi-Fi與云平臺直接通信; (b)沒有配置Wi-Fi接口的節(jié)能型設備,會通過 BLE或 ZigBee等協(xié)議連接到移動APP或智能網(wǎng)關,然后網(wǎng)關和移動APP轉發(fā)連接到云平臺。

圖2 智能音箱硬件架構Figure 2 The hardware architecture of smart speaker

移動應用程序:移動 APP為家庭用戶提供了友好的交互界面,用戶可以通過它完成綁定設備、遠程管理設備、定義自動化規(guī)則等功能。

2.2 智能設備典型漏洞

由于部分智能家居的開發(fā)者缺乏安全意識,設備的保護措施非常脆弱而且漏洞頻出。如圖3所示,本文以通信層關鍵設備—路由器為例,對通用漏洞披露(Common Vulnerabilities & Exposures,CVE)中的歷年漏洞記錄數(shù)量進行了統(tǒng)計。自2013年智能家居的概念進入路由器行業(yè)之后,路由器的漏洞記錄數(shù)量較往年有明顯增長,在最近三年,每年的漏洞數(shù)量都突破了120個。智能路由器的快速發(fā)展并沒有提高設備的安全性,相反導致了漏洞數(shù)量的猛增,給使用智能路由器的家庭用戶帶來了巨大的安全風險。

圖3 CVE披露的歷年路由器漏洞記錄數(shù)量Figure 3 Number of router vulnerability records disclosed by CVE in recent years

國家信息安全漏洞共享平臺(CNVD)2019上半年公開收錄智能設備安全漏洞 1223個[16],與 2018年同期基本持平。這些安全漏洞涉及的漏洞類型主要包括設備信息泄露、權限繞過、遠程代碼執(zhí)行、弱口令等; 涉及的設備類型主要包括家用路由器、網(wǎng)絡攝像頭等。智能家居的漏洞成因復雜多樣,通常將智能家居中最常見的漏洞細分為十個類別[18],下文將結合智能家居應用模型、系統(tǒng)特性和利益相關方責任,通過典型的漏洞實例來對這十種漏洞進行總結分析。

(1) 弱密碼、可猜測密碼或硬編碼密碼:由于供應商及消費者的安全意識不足,一些設備的遠程管理服務的初始憑據(jù)安全強度很低,而用戶很少修改默認密碼,造成許多僵尸網(wǎng)絡的感染途徑都是使用暴力破解密碼或默認出廠密碼,通過 SSH/Telnet登錄入侵物聯(lián)網(wǎng)設備,取得設備的控制權,比如“Mirai”僵尸網(wǎng)絡。這種憑證配置不當?shù)那闆r是普遍存在的,Deepak Kumar等人[19]使用由一些弱憑證或默認配置密碼組成的小型字典嘗試登錄 FTP和Telnet服務,從而識別出使用弱/默認憑證進行身份驗證的物聯(lián)網(wǎng)設備,7.1%的IoT設備和14.6%的家用路由器開啟了FTP和Telnet服務,其中有17.4%的用戶設置了較弱的FTP憑證,有2.1%的用戶使用了較弱的 Telnet憑證。最為流行的弱憑證如表1所示,admin/admin是最常見的,分別占了88%和36%。

表1 最流行的FTP和Telnet弱憑證Table 1 The most popular FTP and Telnet weak credentials

(2) 使用不安全或已遭棄用的組件:智能家居設備通常會使用定制的開源操作系統(tǒng)平臺以及第三方的軟件或硬件組件,由于開源代碼更新較快而且源代碼公開,而供應商對已經(jīng)出現(xiàn)的問題的過期組件更新不及時,因此攻擊者可以采用低版本的已知漏洞對設備進行攻擊,典型的過期組件有busybox、openssl、ssh、Mini_httpd等。2018年Mini_httpd組件被爆出任意文件讀取漏洞(CVE-2018-18778[26]),據(jù)估測該漏洞影響全球兩百多萬臺設備; 2020年,輕量級TCP/IP軟件庫被披露出19個0 day漏洞(Ripple 20[27]),可能導致不同行業(yè)的數(shù)十億 IoT設備面臨著遠程攻擊的風險。

(3) 不安全的網(wǎng)絡服務:設備運行的網(wǎng)絡服務多樣,比如UPnP[20]、Telnet、Samba[21],但供應商在實現(xiàn)這些服務類型時很少完全遵循協(xié)議和安全編程規(guī)范,將端口暴露在互聯(lián)網(wǎng)上,很容易遭到 DoS或遠程代碼執(zhí)行攻擊,對設備的安全性造成威脅,如運行在華為HG532 系列路由器[22]上的UPnP服務出現(xiàn)命令執(zhí)行漏洞(CVE-2017-17215); 為IoT設備提供文件共享服務的Samba被爆出Linux版“永恒之藍[23]”攻擊(CVE-2017-7494)。

嵌入式設備中大多使用輕量級的MiniUPnP庫來實現(xiàn) UPnP協(xié)議,自 2013年開始,共披露出 20條漏洞條目,本文統(tǒng)計其漏洞類別分布如圖4所示,從分布情況可以看出,緩沖區(qū)錯誤及空指針解引用問題是物聯(lián)網(wǎng)二進制程序中比較典型的兩大代碼缺陷。

圖4 MiniUPnP漏洞類別分布Figure 4 MiniUPnP vulnerability category distribution

(4) 隱私保護不充分:與其他網(wǎng)絡設備相比,智能家居設備配置了大量傳感器采集用戶的生物信息、監(jiān)測和記錄周圍環(huán)境信息和用戶活動情況,消費者和智能家居之間的親密關系導致在設備或云平臺中存儲著用戶的大量個人信息,一旦被不安全的、不當?shù)幕蛭唇?jīng)授權的使用,會對用戶的隱私造成危害,比如竊取私人照片、泄露用戶位置、竊聽用戶輸入,典型攻擊案例如表2所示。

表2 隱私保護典型案例Table 2 Typical case of privacy protection

(5) 不安全的生態(tài)接口:智能家居系統(tǒng)使用Web、云端或移動接口供各個組件之間交互,攻擊者通常會在智能設備的 Web接口中尋找 XSS、CSRF和 SQLi等漏洞,以及在云和移動 APP接口中尋找“弱密碼”“信息泄露”“缺乏雙因子認證”和“無賬戶鎖定機制”等問題。亞馬遜的Ring Video Doorbell Pro使用了不安全的配網(wǎng)模式,如圖5所示[24],附近的攻擊者通過無線嗅探或監(jiān)聽可以截獲網(wǎng)絡憑證,從而進入局域網(wǎng)發(fā)起進一步的攻擊。

圖5 亞馬遜門鎖配網(wǎng)模式下信息泄露Figure 5 Information leakage in Amazon door lock under distribution network mode

(6) 缺乏安全的更新機制:固件安全是設備安全的基石。受到資源的限制,許多基于密碼學的安全功能難以直接應用到智能家居領域,如基于數(shù)字簽名的安全升級。2017年D-Link DIR8xx系列路由器被發(fā)現(xiàn)升級邏輯不當[25],設備沒有對固件更新進行相應的完整性和合法性校驗,攻擊者可以向設備安裝任意官方版本或自定義的固件,從而接管設備的控制權。我們對 CVE記錄的相關漏洞進行了統(tǒng)計,結果顯示針對固件更新的攻擊在 2018年達到了峰值,而且到目前為止依然有廠商采取不安全的更新機制。

圖6 CVE披露的固件更新漏洞歷年記錄數(shù)量Figure 6 Number of firmware update vulnerabilities disclosed by CVE in recent years

(7) 不安全的數(shù)據(jù)傳輸和存儲:智能家居系統(tǒng)各個組件存儲著用戶的敏感數(shù)據(jù),并通過各種通信管道傳輸各自的數(shù)據(jù)內容。Gartner 報告顯示[31],物聯(lián)網(wǎng)市場依然保持著 3A格局(亞馬遜、微軟、阿里云),其中阿里云借助中國廣大的市場以及在云服務上的技術優(yōu)勢,向工業(yè)、醫(yī)療、交通、城市、航空等領域提供了百億級 IoT設備的連接能力和上萬個行業(yè)解決方案,因此本文對阿里云物聯(lián)網(wǎng)平臺上設備數(shù)據(jù)在各個組件間的流轉途徑進行了總結,如圖7所示。由于計算資源和存儲資源的限制,許多智能家居設備都沒有檢查服務端的證書甚至不對通信過程加密,復雜的加密和認證算法會占用過多的計算資源,降低設備的性能,影響設備的正常運行,對于實時設備是不可忍受的。如果敏感數(shù)據(jù)內容明文傳輸或沒有以正確的方式進行加密保護,攻擊者常常會對其進行中間人攻擊,從而獲取傳輸內容,比如Philips嬰兒監(jiān)控攝像頭沒有提供防止攻擊者竊聽的加密視頻流[11]。

圖7 阿里云IoT平臺數(shù)據(jù)流轉圖Figure 7 Data flow diagram of Aliyun IoT platform

(8) 缺乏設備管理:智能家居設備地理分布位置廣泛,供應商對已經(jīng)投入市場的智能家居設備缺乏安全支持,比如資產(chǎn)管理、更新管理、安全解除、系統(tǒng)監(jiān)控和響應能力,一旦設備出現(xiàn)故障或漏洞,管理人員無法對錯誤進行排查、分析和處理。

(9) 不安全的默認配置:供應商雖然提供了安全的機制,但默認配置為不安全的策略。用戶的安全意識通常是薄弱的,導致安全機制無法充分地發(fā)揮作用,比如谷歌提供的雙因素驗證可以消除密碼泄露帶來的撞庫風險,但用戶對這項安全機制一無所知,因此黑客利用其他網(wǎng)站上的密碼泄露,入侵并控制了谷歌的智能家居設備 Smart Nest Thermostat[10]。

(10) 缺乏物理加固措施:智能設備的硬件設計遠沒有計算機和智能手機復雜,這大大降低攻擊者通過硬件分析發(fā)起攻擊的難度。電路板上暴露其MCU、外部存儲器等信息,攻擊者拆開設備之后通過查詢datasheet就可以掌握設備的硬件情況。之后,通過JTAG調試接口或UART等串口,攻擊者還可以對固件內容進行相應的讀寫操作。此外,還可以通過硬件攻擊繞過軟件保護,比如 Nest恒溫器硬件基礎設施缺乏合適的保護[32],攻擊者可以通過改變設備引導過程繞過固件更新校驗。

智能家居系統(tǒng)有著區(qū)別于其他聯(lián)網(wǎng)設備的獨特屬性。智能家居設備類別繁多、功能各異、交互復雜,催生出了許多攻擊面,再加上智能設備硬件設計簡單,且存儲和計算資源無法支撐傳統(tǒng)安全的一些防御措施,導致智能家居相對于傳統(tǒng)平臺上的產(chǎn)品更容易被攻擊者入侵,由于智能設備通常與家庭物理環(huán)境緊密聯(lián)系,通過傳感器采集信息并利用執(zhí)行器(如加熱器、加濕器)影響物理環(huán)境,智能家居的安全性問題往往會造成嚴重后果。這些特性為智能家居系統(tǒng)帶來了潛在的威脅和漏洞,表3將智能家居中常見的漏洞類型與其相關的特性聯(lián)系起來,結合2.1節(jié)對智能家居應用模型的討論,確定了其影響的系統(tǒng)層面,并歸屬了利益相關方的責任,其中考慮到移動應用安全規(guī)范與生態(tài)已經(jīng)較為獨立與成熟,本文將“端”安全分離為終端設備安全以及移動應用程序安全。

表3 智能家居漏洞類型及其涉及的特性、系統(tǒng)層面和利益相關方責任Table 3 The features,system level and stakeholder responsibilities of each smart home vulnerabilities

2.3 惡意代碼攻擊威脅

在互聯(lián)網(wǎng)時代,計算機是惡意病毒、蠕蟲入侵的主要對象[33]。隨著物聯(lián)網(wǎng)的發(fā)展,智能設備走進千家萬戶,黑客逐漸把入侵的對象從主機轉向安全性更低的智能設備。這些惡意程序的感染途徑一般是通過軟件漏洞利用以及暴力破解憑證來入侵和遠程控制設備。設備被黑客入侵控制后,通常會成為僵尸網(wǎng)絡的一員,被用來執(zhí)行DDoS攻擊或其他惡意行為。2019 年,CNCERT 捕獲智能設備惡意程序樣本約324.1 萬個[34],其中 Mirai 家族和 Gafgyt家族的惡意樣本就占據(jù)了86.1%,被控制的智能設備平均每天會對1528個目標主機發(fā)起DDoS攻擊。根據(jù)卡巴斯基安全報告[35],攻擊者在破解路由器telnet密碼之后使用最多的十種惡意軟件如表4所示。

表4 黑客入侵路由器最常使用的十種惡意軟件Table 4 The ten most commonly used malware to attack routers

Mirai家族的惡意代碼構建的僵尸網(wǎng)絡至今已參與了多次的大型分布式拒絕服務攻擊(DDoS),最早也是最受關注的攻擊是在2016年9月,相繼出現(xiàn)了針對計算機安全撰稿人Krebs個人網(wǎng)站、法國網(wǎng)站托管商OVH以及Dyn公司的網(wǎng)絡攻擊事件。針對Krebs的初始攻擊流量達到了 600 Gbps,這是當時有記錄以來最大的一次攻擊,而這種壓倒性的流量就是由數(shù)十萬個受控物聯(lián)網(wǎng)設備組成的僵尸網(wǎng)絡產(chǎn)生的。

2016年9月30日,Mirai的源代碼在hackforums.net[37]上公開發(fā)布,研究人員依靠此代碼對 Mirai的結構和傳播方式進行分析[12-13,36],如圖8所示:

圖8 Mirai傳播流程[36]Figure 8 Mirai propagation process[36]

√ Mirai首先會進入快速掃描階段,在該階段它使用TCP SYN探針掃描設備的Telnet端口;

√ 如果掃描到這兩個端口,Mirai將嘗試使用預置的憑證字典暴力登錄Telnet端口;

√ 首次登錄成功后,Mirai會將受害者的IP和相關憑據(jù)發(fā)送到報告服務器;

√ 之后下載程序將根據(jù)受害設備的底層系統(tǒng)環(huán)境(MIPS、ARM,x86 等架構)下載相應的惡意代碼;

√ 成功感染后,Mirai會通過刪除已下載的惡意代碼并使用隨機字母數(shù)字混淆惡意進程名來隱藏其存在,并殺死綁定到TCP/22或TCP/23以及其他競爭性的進程,從而獲得設備的獨占權;

√ 此時,指揮與控制服務器就可以向受控設備下發(fā)攻擊命令,同時掃描新的受害設備。

Mirai的出現(xiàn)標志著DDoS攻擊活動已經(jīng)進入一個新的時代——越來越多的物聯(lián)網(wǎng)設備將成為僵尸網(wǎng)絡的目標。

Gafgyt[39]是眾多僵尸網(wǎng)絡家族中最活躍的一族,2014年,黑客組織Lizard Squad使用Gafgyt家族相繼對索尼PSN及微軟Xbox Live發(fā)起DDoS攻擊。2015年1月,Gafgyt的源代碼被公開,隨后許多變種開始出現(xiàn)(如BASHLITE,Lizkebab,Torlus和Qbot)。

僅到2016年,已經(jīng)有100萬臺IoT設備被該惡意軟件入侵[38]: 在受感染的100萬臺終端設備中,有將近95%是攝像機和DVR,大約4%是家用路由器,不到1%是受感染的Linux服務器。由此可見,與過去發(fā)現(xiàn)的基于服務器的 DDoS僵尸網(wǎng)絡相比,僵尸網(wǎng)絡的構成發(fā)生了急劇變化。

3 智能家居設備攻擊與防御技術

根據(jù)智能家居應用模型及攻擊向量模型,本章將從三個攻擊維度(云、管、端)來討論針對智能家居系統(tǒng)的攻擊方法及防御措施。

3.1 云安全

本節(jié)統(tǒng)計了近五年來安全領域頂級會議上有關于物聯(lián)網(wǎng)平臺安全的相關研究,并根據(jù)其涉及的研究角度對云平臺攻擊與防御方法進行總結,如表5所示,具體描述如下:

表5 云平臺層面攻擊與防御方法總結Table 5 Literature summary of attack and defense methods at the cloud platform level

3.1.1 平臺邏輯缺陷

隨著智能家居系統(tǒng)的應用場景越來越多樣,云管端之間的交互變得越來越復雜,這些依賴關系為平臺帶來豐富功能的同時也引入了新的攻擊面,自動化規(guī)則漏洞和實體狀態(tài)轉換不當是最具代表性的邏輯缺陷。

1) 自動化規(guī)則漏洞:諸如 IFTTT[41],automate.io[42]和 CloudWork[43]一類的云平臺承擔了家庭自動化的任務,隨著設備的種類及規(guī)則的復雜度逐漸增加,Wang等[44]指出自動化規(guī)則與規(guī)則之間的漏洞有可能被攻擊者利用,如條件繞過、條件阻塞、動作恢復、動作沖突、動作循環(huán)和動作重復。

緩解措施:對于Trigger-Action平臺中的規(guī)則間漏洞,Wang等[44]進行了分析和概括,并開發(fā)可以檢查自動化規(guī)則中易受攻擊屬性的 iRuler,其架構和工作流程如圖9所示,iRuler使用規(guī)則解析器從移動應用程序中提取觸發(fā)規(guī)則并將其轉換為規(guī)則表示,模型構建器從規(guī)則表示、用戶部署配置和設備元數(shù)據(jù)三者獲得中間表示,最后檢查引擎對中間表示進行規(guī)則漏洞的掃描。iRuler結合了可滿足性模理論(Satisfiability Modulo Theories,SMT)和模型檢查的功能,為IoT系統(tǒng)建模并檢查易受攻擊的屬性,另外還使用自然語言處理(Natural Language Processing,NLP)進行輔助,用于推斷專有觸發(fā)動作平臺中規(guī)則之間的不足信息。受限制于真實規(guī)則需要大量物理設備支持,iRuler采用人工編寫規(guī)則的方式來降低成本,因此與真實情況存在一些誤差,而且由于Trigger-Action平臺內部的規(guī)則通常是封閉的,并由各種第三方開發(fā),iRuler的通用性還有待提高。

圖9 iRuler的架構和工作流程Figure 9 The architecture and worklow of iRuler

2) 實體狀態(tài)轉換不當:Zhou等[40]對 Alink、Joylink、KASA、SmartThings以及MiJia等5個廣泛使用的智能家居平臺進行了深入研究,結合固件分析、網(wǎng)絡流量攔截和黑盒測試,對參與實體(即設備,云平臺和移動應用)之間的交互細節(jié)進行了逆向工程,并重點研究了這三個實體在狀態(tài)轉換中的漏洞,發(fā)現(xiàn)了5種設計缺陷,如圖10所示。由于大多數(shù)物聯(lián)網(wǎng)平臺允許設備在用戶未授權的前提下登錄和解綁,攻擊者在獲得設備證書的情況下不僅可以偽裝成真實設備接收用戶指令,甚至能夠遠程控制受害者的真實設備,這個風險主要存在于二手交易場景中。

圖10 實體間非法狀態(tài)轉換圖Figure 10 Illegal state transition diagram between entities

緩解措施:針對實體交互中容易出現(xiàn)的問題,Zhou等[40]提出要在實體交互過程中進行嚴格的設備認證、全面的授權檢查以及有效的強化狀態(tài)轉換。有意思的是,單獨采用緩解措施中的某個子集是不夠的,因為交互中的缺陷是多方面共同造成的。

3.1.2 權限粒度過粗

針對平臺權限控制,安全人員需要從兩個層面考慮: 一是正常權限使用者在用戶不知情的情況下濫用被賦予的權限,如任意訪問用戶敏感數(shù)據(jù); 二是攻擊者濫用通過遠程劫持等途徑獲得的高級別權限,如OAuth令牌泄露。

1) 敏感數(shù)據(jù)使用不當:設備上的惡意應用程序有可能濫用用戶給予的權限并泄漏數(shù)據(jù),Fernandes等[47]設計了安全模型FlowFence,它要求敏感數(shù)據(jù)的使用者明確聲明預期的數(shù)據(jù)流而且強制執(zhí)行聲明的流,從而有效地阻止其他非法流。

對于當前物聯(lián)網(wǎng)平臺許可模式中的設計缺陷,Jia等[48]提出了一種適用于IoT平臺的基于上下文的全新訪問控制模型 ContexIoT,提供對敏感操作的細粒度上下文識別,并通過具有豐富上下文信息的運行時提示來提供上下文完整性,以幫助用戶執(zhí)行有效的訪問控制。與 FlowFence不同,ContexIoT不需要額外的開發(fā)人員工作而且滿足向后兼容的需求。

2) OAuth令牌濫用:Trigger-Action平臺通過OAuth令牌連接多個設備和服務以執(zhí)行用戶創(chuàng)建的自動化動作,因此攻擊者一旦掌握了OAuth令牌,就可以遠程操控平臺上任意用戶的設備[45]。雖然供應商在設計和測試云平臺時下了很大工夫,但Yang的報告顯示[46],在使用OAuth的前600個Android移動應用程序中,有41%容易受到遠程劫持的影響。

緩解措施:為了解決攻擊者濫用 OAuth令牌的問題,Fernandes等[45]引入了采用分散式操作完整性(Decentralized Action Integrity)的去中心化觸發(fā)動作平臺(Decentralized Trigger-Action Platform,DTAP),作為對OAuth協(xié)議的擴展。

3.1.3 語音識別漏洞

虛擬個人助理(Virtual Personal Assistant,VPA)平臺提供的語音識別功能除了對說話者的語音內容識別之外,還包括對說話者身份的識別,這兩種新穎的功能給使用 VPA的智能家居帶來了嚴重的安全問題。

1) 語音內容識別:如圖11 VPA平臺架構所示,VPA生態(tài)系統(tǒng)允許第三方人員在平臺上發(fā)布類似于應用程序的技能,與傳統(tǒng)智能手機平臺上的 APP不同,VPA的大多數(shù)邏輯發(fā)生在服務器上,設備端只負責處理語音識別、錄音、播放和一些基本配置。智能音箱通過準確識別說話人的語音命令來執(zhí)行相應的指令操作,但Kumar等人[49]發(fā)現(xiàn)為Amazon Echo系列設備提供支持的語音識別引擎Amazon Alexa并不能對語音命令執(zhí)行絕對正確的解釋,攻擊者可以通過技能搶注攻擊(Skill Squatting Attack)將用戶的語音命令解釋為惡意應用程序。鑒于攻擊者巧妙地利用一些常見的口語錯誤,Zhang等[50]設計了第一個語言模型指導的模糊測試工具 LipFuzzer,用來大規(guī)模評估意圖分類器的安全性,系統(tǒng)地發(fā)現(xiàn)潛在的易于誤解的口語錯誤,但貝葉斯網(wǎng)絡非常依賴于數(shù)據(jù)集的規(guī)模和質量,因此LipFuzzer的訓練模型還可以進一步改進。Zhang等[51]發(fā)現(xiàn)VPA不僅會因為發(fā)音而曲解語音命令,還會因為綴詞的使用導致語音搶注攻擊(Voice Squatting Attack),另外攻擊者可以利用語音偽裝攻擊(Voice Masquerading Attack)在技能切換或技能終止時繼續(xù)維持當前技能的控制權,惡意的技能只會假裝轉交控制權給其他技能,并繼續(xù)收集用戶的私密信息。

圖11 VPA平臺架構[58]Figure 11 The architecture of VPA platforms[58]

緩解措施:為了解決Squatting Attack帶來的問題,Kumar等人[49]和Zhang等人[51]提出基于單詞和基于音素的對新技能調用名稱的分析,避免出現(xiàn)發(fā)音相似的技能,同時訓練一個檢測器對用戶意圖進行判斷以避免出現(xiàn)Masquerading Attack。

2) 聲紋識別:除了對語音命令內容識別,一些智能語音助手還可以支持對說話者身份識別[52],但用戶的聲音卻有可能成為黑客的通行證,Jia等人[53]基于神經(jīng)網(wǎng)絡設計了語音合成系統(tǒng),可以模仿說話者的語音命令,繞過 VPA的認證。但這個語音合成系統(tǒng)生成的語音水平強烈依賴于語音數(shù)據(jù)集的數(shù)量及質量且對重音的轉換效果不佳。

與 Jia設計的欺騙攻擊(Spoofing Attack)不同,Chen等人[55]首次提出了針對聲紋識別系統(tǒng)的黑盒對抗攻擊FAKEBOB,對抗攻擊相對于欺騙攻擊的優(yōu)勢在于其攻擊的隱蔽性更高,它的主要設計思路是在一段語音上加入人耳無法識別的擾動音頻,從而生成對抗語音。FAKEBOB在開源和商業(yè)聲紋識別系統(tǒng)上達到了 99%的攻擊成功率,而且現(xiàn)有的四種防御手段(局部平滑、量化、音頻壓縮和時間依賴性檢測)對FAKEBOB的緩解效果有限。

3.1.4 用戶隱私泄露

智能家居與家庭用戶的親密關系導致智能設備能夠接觸并收集到消費者的隱私信息,除了對通用隱私保護的安全研究之外,近些年來智能音箱上Skill的流行也對隱私安全造成了新的威脅,研究人員對此也進行了深入研究。

1) 通用隱私保護:對于智能家居設備收集的用戶隱私數(shù)據(jù),部分組織和政府推動了數(shù)據(jù)保護法規(guī)的產(chǎn)生,但由于家庭用戶缺乏足夠的隱私意識,供應商也沒有提供透明且方便的隱私安全配置選項,這些指導方針很難被廣泛地采納。

緩解措施:Bastys等[65]利用訪問控制和信息流控制來保護用戶隱私,并開發(fā)了一個框架來檢測攻擊者控制的URL泄漏隱私數(shù)據(jù)。Apthorpe等[57]采用基于上下文完整性理論的調查方法,可量化地測試這些法規(guī)所規(guī)定的條款是否確實符合目標人群預期的隱私規(guī)范。Pardis等[63]采用三輪德爾菲法與22位隱私與安全專家進行意見咨詢,從而向物聯(lián)網(wǎng)消費者提供隱私安全判斷上的參考。

2) Skill與隱私泄露:3.1.3 集中總結了從語音、聲學接口方面針對VPA設備技能的安全研究,除此之外,與Android生態(tài)系統(tǒng)中惡意應用頻繁竊取用戶隱私信息類似,由于 Skill認證過程和發(fā)布審核政策存在缺陷,VPA平臺還存在這些問題: 過度的資源訪問特權[56]—通過在技能描述中提供合理的借口,繞過權限審查; 隱蔽的后端代碼更新[58,62]—Skill(技能)的后端代碼運行在開發(fā)人員的服務器上,代碼在認證發(fā)布之后可以隨意更新; 任意的內容篡改[56]—攻擊者向新聞技能鏈接的網(wǎng)站添加不當內容。

Cheng等人[58]對兩個領先的VPA平臺(Alexa和谷歌)的內容及隱私策略進行了深入研究,提交了234個Alexa技能(Skills)和381個谷歌動作(Actions),這些操作均故意違反了VPA平臺所聲明的特定隱私政策,但結果所有Alexa Skills和39%的谷歌Actions可以通過認證,這表明 VPA平臺在認證過程中并沒有嚴格執(zhí)行安全審核策略。

緩解措施:為了幫助VPA平臺提供商增強其技能認證過程的可信性,Cheng等人[58]提出了一系列可行的緩解措施,包括: 培訓認證團隊; 在技能認證過程中深入檢查; 自動化技能測試工具檢測違反策略的技能; 在技能生命周期中加強技能行為的完整性以緩解VPA后端代碼更新漏洞。

從上面相關研究內容來看,保護用戶隱私簡單來說需要從以下3方面考慮:

√ 用戶需要了解設備的功能[59]以及這些功能如何影響隱私安全,并且在使用智能家居前對可能出現(xiàn)的隱私安全風險充分了解。

√ 包括隱私監(jiān)管機構、政府、消費者組織在內的第三方需要通過發(fā)布隱私指導及法規(guī)[60-61],來幫助用戶建立對最低隱私及安全措施的共識,同時引導供應商在產(chǎn)品的整個生命周期充分考慮隱私安全問題。

√ 供應商應當向用戶提供透明、方便的隱私說明及選項,為消費者提供直觀可靠的隱私提示,參與制定并遵循第三方的安全指導,貫徹數(shù)據(jù)/權限最小化原則。

3.1.5 設備診斷恢復

由于智能家居設備之間通過自動化規(guī)則聯(lián)動,并與家庭物理環(huán)境緊密結合,由攻擊或設備故障帶來的設備異常會造成嚴重后果,因此在設備遭受攻擊破壞之后,及時對設備進行診斷和恢復越來越被安全人員所重視。

1) 設備診斷:為了能夠快速定位某個設備被攻擊或者配置錯誤的原因,ProvThings[66]以平臺為中心,對移動APP和設備API執(zhí)行有效的自動化檢測,通過日志審計實現(xiàn)攻擊調查和系統(tǒng)診斷。以往利用數(shù)據(jù)挖掘技術檢測異常的工作存在很高的誤報率和漏報率,HAWatcher[67]從智能應用程序的執(zhí)行、物理交互及用戶活動三個通道收集語義并相互關聯(lián),提升了設備異常檢測和診斷的效果,但 HAWatcher只能挖掘短時間內前后事件的相關性,無法對長時間間隔的事件進行關聯(lián)。

2) 設備恢復:為了可以在短時間內恢復攻擊者控制的設備,Xu等[68]為設備管理者引入了恢復系統(tǒng)CIDER,管理員根據(jù)識別出的漏洞指示CIDER強制設備重置以清除攻擊者根植在文件系統(tǒng)的后門,并在設備上安裝修補的固件。由于重置系統(tǒng)不會觸及到 bootloader,因此 CIDER沒辦法恢復受損的bootloader(如 bootkit攻擊)。

3.2 管安全

智能家居系統(tǒng)三大實體組件之間依靠各種通信協(xié)議交換命令和消息數(shù)據(jù),大致可以分為互聯(lián)網(wǎng)協(xié)議(IP)和低功耗協(xié)議(LE)。表6給出了本文總結的針對這兩大類通信協(xié)議的常見攻擊及防御手段,具體描述如下:

3.2.1 互聯(lián)網(wǎng)協(xié)議安全

基于IP協(xié)議的應用層協(xié)議可分為DNS、HTTP、UPnP、MQTT(消息隊列遙測傳輸)、CoAP(受限應用協(xié)議)和私有協(xié)議。IP協(xié)議為設備和移動端與云提供直接通信的服務,并依靠TCP和TLS/SSL協(xié)議保證安全性。

1) 數(shù)據(jù)協(xié)議安全:MQTT和CoAP等數(shù)據(jù)協(xié)議已在IoT部署的Machine-to-Machine/Man(M2M)通信中得到廣泛使用,但安全性和隱私風險值得關注。Maggi等[69]在白皮書中表示,暴露的MQTT和CoAP主機以及錯誤配置的系統(tǒng)可能會將憑據(jù)、敏感信息和與行業(yè)相關的過程數(shù)據(jù)泄露給潛在攻擊者,此外目前已經(jīng)出現(xiàn)的漏洞甚至可能使攻擊者獲得對設備的遠程控制或使其處于DoS狀態(tài)。

由于 MQTT協(xié)議的固有缺陷或不當使用,主流的 IoT云平臺與設備通信消息協(xié)議的安全性很容易受到攻擊,Jia等[70-71]在對MQTT協(xié)議分析過程中發(fā)現(xiàn)存在四種攻擊方式: 未經(jīng)授權的 MQTT消息(Unauthorized MQTT Messages)、管理MQTT會話的錯誤(Faults in Managing MQTT Sessions)、未經(jīng)驗證的 MQTT身份標識(Unauthenticated MQTT Identities)、MQTT主題的授權之秘(Authorization Mystery of MQTT Topics),利用這些漏洞進行攻擊會造成嚴重后果。

緩解措施:針對這些漏洞,Jia等[70]提出依照保護協(xié)議實體的設計原則以及采用增強的訪問控制模型來強化MQTT的安全性。

2) 基于HTTP的協(xié)議安全:Samue等人[72]揭示了攻擊者利用像 HTTP這樣的不安全協(xié)議在系統(tǒng)軟件更新過程中進行中間人攻擊的可能。UPnP等協(xié)議基于HTTP構建,因此不可避免地繼承了HTTP的許多缺陷。2006年,Armijn Hemel[73]對互聯(lián)網(wǎng)網(wǎng)關設備協(xié)議(IGD)的研究表明UPnP容易受到各種攻擊—內網(wǎng)計算機可能會暴露于外部網(wǎng)絡; 2011年,Daniel Garcia[74]在DEFCON 19上發(fā)布了一個工具集,使得攻擊者可以輕易利用Hemel發(fā)現(xiàn)的漏洞,通過WAN接口將NAT規(guī)則注入到遠程設備中; 2013年,Rapid 7[75]在Internet上發(fā)現(xiàn)了8000萬個易受攻擊的UPnP設備,包括來自 1500多家供應商的數(shù)千種型號,未經(jīng)身份驗證和未加密的應用層協(xié)議等問題使攻擊者能夠大規(guī)模利用設備,從而導致其他攻擊,如分布式拒絕服務攻擊(DDoS)。

傳輸層安全性協(xié)議(TLS)及其前身安全套接層(SSL)可以為應用層的協(xié)議提供機密性和完整性的保障,但TLS/SSL也并非絕對安全。 2011年,研究人員[76]發(fā)布了名為BEAST(針對SSL / TLS的瀏覽器攻擊)攻擊的 POC,該攻擊使中間人攻擊者能夠從加密的SSL / TLS 1.0會話中發(fā)現(xiàn)信息。2012年,CRIME攻擊[77]利用 TLS 1.2及更早版本在加密壓縮數(shù)據(jù)時沒有適當混淆未加密數(shù)據(jù)長度的漏洞,攻擊者可以通過觀察長度差異來猜測注入內容是否匹配,從而挖掘私密內容。2013年,AlFardan等人[78]提出Lucky Thirteen攻擊,在MAC驗證中使用格式錯誤的數(shù)據(jù)包來推斷時間延遲,以從密文中統(tǒng)計推斷明文。2014年10月,Google安全團隊披露了針對SSL 3.0的降級漏洞 POODLE[79],可以讓攻擊者破解小段的加密數(shù)據(jù)。此外,Bleichenbacher[81]攻擊和DROWN[82]攻擊進一步利用加密填充的問題說明了實現(xiàn)安全通信協(xié)議的困難。由于許多IoT通信都支持TLS / SSL協(xié)議的較早版本,因此容易受到中間人(Man-in-themiddle,MITM)攻擊。

緩解措施:對于基于HTTP的協(xié)議,應使用TLS/ SSL來增加完整性和機密性。雖然TLS/SSL并不是絕對的安全,但只要供應商在服務端及客戶端部署最新的版本并正確配置,就可以抵擋絕大部分攻擊。

3) DNS與隱私保護:DNS服務使用遞歸查詢請求的方法來完成 IP地址與域名地址的轉換,為Internet的正常運作提供關鍵性的基礎服務。Kintis等人[83]發(fā)現(xiàn) EDNS客戶端子網(wǎng)(edns-client-subnet,ECS)破壞了DNS通信的私密性: 在ECS下,開放遞歸DNS會將部分隱私提供給上層機構。

緩解措施:禁用DNS中的ECS功能可以幫助用戶保護隱私安全。

3.2.2 低功耗協(xié)議安全

低功耗協(xié)議主要有Zigbee、Z-Wave和Bluetooth-LE(BLE),支持低功耗設備與家庭網(wǎng)關(Hub)和移動APP之間的通信。

1) 藍牙協(xié)議安全:藍牙低功耗(Bluetooth Low Energy,BLE)是藍牙 4.0規(guī)范的一部份。總體而言,BLE作為一種通信協(xié)議,面臨的主要攻擊手段可以分為監(jiān)聽攻擊和中間人攻擊,針對這兩種攻擊方法,BLE使用通信加密及身份認證這兩個安全機制進行防御。

Ryan[84]公開存在于BLE4.0及4.1版本中藍牙密鑰交換協(xié)議的一個嚴重缺陷,這使得 BLE通信容易受到攻擊者竊聽。Bluthooth SIG在4.2版本[85]中引入LE安全連接對該漏洞進行再修補,加上規(guī)范本身復雜性高,增加了破解臨時密鑰(Temporary Key,TK)的難度。盡管4.2版本引入了許多確保安全要求的流程,但制造商和銷售商仍具有選擇安全級別的能力,從而可能導致各種安全事故[86]。對于藍牙協(xié)議來說,MiTM 攻擊是一個嚴重的安全問題,Sun等[88]和Sivakumaran等[87]針對最新版本 BLE的密鑰登錄配對協(xié)議進行MITM攻擊; Jasek[89]開源了針對BLE的MITM 工具—gattacker,可以對未實現(xiàn)藍牙安全功能(配對)的設備發(fā)起拒絕服務、欺騙、數(shù)據(jù)攔截、控制設備等攻擊; Zegeye[90]對綁定階段的長期密鑰(Long Term Key,LTK)進行暴力破解攻擊。

BLE協(xié)議中使用UUID來唯一標識特定BLE屬性(服務、特征、描述符),從而可以建立起應用與設備之間的關系,Zuo等人[116]開發(fā)了 BLESCOPE對18166個使用了BLE的應用進行分析,發(fā)現(xiàn)有11141(61.3%) 采用“直接連接(Just Works)”配對,在沒有對應用做認證的情況下,攻擊者可以隨意連接到這些設備,此外,很多 BLE設備采用了靜態(tài)的 UUID,攻擊者可以通過嗅探UUID來對BLE設備進行指紋識別。

緩解措施:低版本的LE協(xié)議普遍存在嚴重缺陷且攻擊工具易得,緩解方案有限,開發(fā)者應當禁用協(xié)議中不安全的部分并保持更新。遵循BLE 4.2的供應商和制造商應采用安全模式1級別4,而遵循BLE 4.0和BLE 4.1的供應商和制造商應采用安全模式1級別3[110]。

2) ZigBee安全:ZigBee技術為物聯(lián)網(wǎng)環(huán)境中的通信提供高效且安全的短距離通信,并盡可能降低功耗。

ZigBee設備使用幀計數(shù)器對抗重放攻擊,但一些攻擊者使用特定的軟件和硬件設備繞過這一防御措施。比如AVR RZ Raven USB[91]可以用作ZigBee的終端節(jié)點,以嗅探并捕獲網(wǎng)絡流量,并從中獲得網(wǎng)絡密鑰。除使用硬件設備,Wright還使用python開發(fā)了Killerbee[92]用于捕獲和分析ZigBee流量。DoS是針對 ZigBee的另一種常見攻擊,它可以損耗低功耗設備的電池壽命,Vidgren等人[91]從理論上提出,攻擊者可以偽裝成路由器或信任中心(Trust Center,TC)連續(xù)發(fā)送請求消息到終端節(jié)點,設備必須不斷響應請求,從而對電池造成損傷。ZigBee的協(xié)議設計也存在一些問題,Zillner等[118]指出ZigBee聯(lián)盟定義的默認信任中心鏈接密鑰在所有設備上是相同的,這讓設備劫持攻擊成為可能。

緩解措施:ZigBee提供了選擇各種安全模型的功能[93],供應商應采用基于 TC的集中式安全模型,它被認為是最充分的安全流程。同時供應商應從ZigBee提供的兩個安全級別(高安全性和標準安全性)中選擇高安全性的。

3) Z-Wave安全:Z-Wave將安全性機制分為兩個主要類別: 安全性 0(S0)和安全性 2(S2)。其中Curve25519模型被認為是S2類密鑰交換過程最安全的選擇,但Genkin等人[94]最近卻對這個模型進行了側信道攻擊。到目前為止,并未出現(xiàn)針對Z-Wave的通用性攻擊方法,但由于供應商或用戶對Z-Wave協(xié)議的不當設置或使用,出現(xiàn)了一些針對特定實現(xiàn)的利用。比如在Z-Wave與可能不包含足夠安全機制的傳統(tǒng)設備進行通信時,攻擊者可以采用重放攻擊;供應商不一定會采取Z-Wave提供的AES-128加密,Hall等人[95]測試了 33個 Z-Wave設備,發(fā)現(xiàn)只有 9個支持使用加密,并推出一個稱為EZ-Wave的工具,可以幫助攻擊者執(zhí)行各種對Z-Wave的滲透測試。

緩解措施:選擇使用Z-Wave的設備應當選擇安全性更高且支持OTA的Z-Wave Plus[110]。

4) 側信道攻擊:正確地采用加密措施能夠保護通信管道免受監(jiān)聽攻擊及中間人攻擊的威脅,但一些研究人員發(fā)現(xiàn)事件及加密流量之間的因果關系可以用來推斷智能家居中的敏感信息。PingPong[97]可以從網(wǎng)絡流量中自動提取設備事件(例如打開/關閉燈泡)的數(shù)據(jù)包級簽名特征,攻擊者可以用它來發(fā)起被動推斷攻擊、異常檢測等。Zhang等[98]提供了一種基于側信道的設備行為推斷技術—HoMonit,它從APP源代碼或UI交互界面提取出設備意圖,與從加密的無線通信信道(ZigBee和 Z-wave)推斷出的設備狀態(tài)進行比對,從而發(fā)現(xiàn)設備的異常狀態(tài)。側信道信息泄露是一把雙刃劍,HoMonit的初衷是檢測行為不當?shù)?APP,但攻擊者利用這種技術也可以發(fā)起側信道推理攻擊從而獲取用戶的隱私信息。由于HoMonit從數(shù)據(jù)包的大小和時序信息中捕獲流量指紋,因此其精度很容易受到非標準化無線流量模式的影響。此外,Luo等[99]提出一個名為ALTA的應用程序級隱私泄露分析方法,利用程序分析提取觸發(fā)規(guī)則從而構建應用程序的指紋特征,并結合從 APP描述及輸入提示中處理得到的敏感信息,最后通過運行時動態(tài)流量分析來推斷用戶正在運行的應用。

緩解措施:針對這類攻擊手段,Apthorpe等[100]提出使用流量整形保護消費者免受側信道流量監(jiān)聽的威脅。

3.3 端安全-設備

終端設備承載了從物理世界采集、簡單處理數(shù)據(jù),并根據(jù)處理結果通過執(zhí)行器影響物理環(huán)境的功能。本文對終端設備攻擊手段進行了總結歸納,如表7所示,常見的端側攻擊角度有固件啟動、固件更新、設備傳感器、過期組件。

表7 終端設備攻擊與防御方法總結Table 7 Literature summary of terminal equipment attack and defense methods

3.3.1 固件提取

固件安全是設備安全的基石,提取固件通常是攻擊者的首要任務,表8給出了本文總結的固件提取的8種常用方法。

表8 固件提取常用方法總結Table 8 Summary of common methods for firmware extraction

Clinton等人[101]展示了從UART、JTAG等硬件引腳直接訪問Echo文件系統(tǒng)的難點,Barnes[102]在此基礎上結合設備暴露的調試接口以及硬件配置不當(允許設備從外部SD卡啟動),成功獲取設備shell并遠程監(jiān)聽用戶。隨著某些供應商混淆或刪除JTAG接口以保護其知識產(chǎn)權,與Flash存儲器直接進行交互變得非常有用(如騰訊blade team通過這種方法提取Amazon Echo 固件[103])。

3.3.2 過期組件

在成功提取出固件之后,攻擊者通常會對固件進行解包,然后靜態(tài)逆向分析二進制程序。Costin等人[105]完成了固件映像的首次公開大規(guī)模分析,將32000個固件映像解壓縮為170萬個單獨的文件,然后對其進行靜態(tài)分析,發(fā)現(xiàn)了一系列漏洞。值得注意的是,攻擊者挖掘出一個0 day付出的成本是很高的,Feng等[111]的研究揭示了近年來IoT攻擊普遍存在的一個被忽視的原因: IoT漏洞是公開可用且易于利用的,而今天的IoT攻擊幾乎都是使用已知漏洞來發(fā)動惡意攻擊。

緩解措施:及時修補漏洞對于提升設備安全性有很大幫助。供應商可以通過空中下載技術(Over the Air,OTA)來修補不安全的服務和過期的組件等缺陷。

3.3.3 固件安全啟動

Jeong[112]提出使用 FTDI FT2232H 芯片組進行Bit-banging,實現(xiàn)對 NAND flash固件內容的讀寫,同時,考慮到ECC、壞塊和JFFS2擦除標記等問題,他編寫了自動化修改和重建固件鏡像的程序。具備了重構固件的能力,攻擊者就可以通過自定義Bootloader、內核或文件系統(tǒng)植入惡意代碼從而持久化攻擊,目前很多廠商針對后面兩者的攻擊采取了一些緩解措施,如重置按鈕、內核映像校驗和寫入保護。YANG等人[104]實現(xiàn)了名為UbootKit的蠕蟲攻擊,該蠕蟲針對IoT設備的引導加載程序,可以在不同的設備之間傳播,并以root權限控制設備。

緩解措施:與軟件漏洞可通過 OTA修補不同,對于一些底層的漏洞或固有的設計缺陷,需要在產(chǎn)品設計之初采用安全的框架,例如要實現(xiàn)固件的安全啟動,供應商需要在片上代碼中添加了完整性驗證程序。

3.3.4 固件安全更新

UbootKit攻擊能夠成功發(fā)起,是因為大多數(shù)物聯(lián)網(wǎng)設備都缺少對 Bootloader的完整性驗證,但UbootKit在感染第一個僵尸設備時,依然需要攻擊者拆開設備從而暴力刷寫Flash中的固件,攻擊途徑較苛刻。不過一些智能設備缺少安全的固件更新機制,攻擊者可以通過合法的固件升級接口上傳自定義固件,例如 Nest Thermostat固件引導過程存在后門[30],攻擊者可以通過 USB上傳惡意固件,繞過設備對固件簽名的驗證; Philips Hue智能燈對固件更新進行加密和簽名,但 Ronen等人[106]的研究顯示,Philips Hue在燈泡之間重用對稱加密和簽名密鑰,攻擊者能夠通過邊信道攻擊提取主加密密鑰,并將其與通信協(xié)議中發(fā)現(xiàn)的漏洞結合在一起,從而上傳惡意的OTA更新以感染燈泡。

3.3.5 設備傳感器攻擊

在智能音箱設備中,語音識別(SR)系統(tǒng)已經(jīng)成為一種越來越流行的人機交互方法,Zhang等人[107]設計了一個人類無法聽見(頻率> 20 kHz)的海豚音攻擊(DolphinAttack)。如圖12所示,攻擊者調制出超聲載波上的語音命令,音頻信號通過麥克風電路的非線性特性可以成功地解調,恢復調制前的低頻音頻命令,語音識別系統(tǒng)對命令進行解釋執(zhí)行,其中超聲波只能發(fā)射5英尺的距離。

圖12 “海豚音攻擊”原理圖Figure 12 Schematic diagram of “DolphinAttack”

意識到攻擊范圍的限制,Roy等[108]通過聚集來自揚聲器陣列的超聲信號將攻擊范圍擴大到 25英尺。除了空氣,聲波還通過可能振動的其他材料傳播。Yan等[109]利用聲音在固體介質導波傳播的獨特特性,將超聲中各種聽不見的語音命令傳遞給來自不同制造商的多種目標設備,實現(xiàn)了以較低的功率要求進行較長距離的攻擊,同時實現(xiàn)了與語音設備的多輪交互。

除了對麥克風這一傳感器的攻擊研究之外,Tu等人[113]在“Trick or Heat”中利用放大器中的整流效應對溫度傳感器進行帶外信號注入攻擊,從而控制溫度傳感器信號的直流電壓。

傳感器是智能家居的基礎,現(xiàn)有對傳感器的安全研究表明,除電磁干擾之外,聲音和光等不同類型的信號注入都會對傳感器造成危害。由于這些攻擊所利用的物理現(xiàn)象各不相同,如調制解調、混疊效應和整流,因此緩解措施沒辦法通用。

3.4 端安全-APP

許多智能家居設備都有配備相應的移動應用程序,用以配置、控制和監(jiān)控設備。安卓研究人員[117]使用PlayDrone抓取并分析了Google Play中上百萬的應用程序,大部分應用程序都出現(xiàn)了權限不當、存儲不安全、編程質量不過關等問題,智能家居相關的應用程序也不例外。表9 給出了本文總結的針對IoT移動應用程序的常見攻擊與防御方法。

表9 移動端攻擊與防御方法總結Table 9 Literature summary of mobile attack and defense methods

權限使用不當:三星的SmartThings是目前智能家居平臺中擁有最多移動應用程序的平臺,但其安全性不容樂觀,Fernandes等[115]分析表明應用商店中超過55%的SmartApps特權過高而且與SmartApps異步通信的SmartThings事件子系統(tǒng)的安全控制不充分,攻擊者可以利用這些缺陷竊取鎖定密碼以及偽造假火警。此外,Sivaraman等[119]證明了惡意移動應用程序在家庭網(wǎng)絡會偵察家庭中的網(wǎng)絡設備情況,并通過端口映射將家庭內的脆弱設備或服務暴露給攻擊者。

緩解措施:為避免應用程序可以請求不必要的權限,Tian等人[120]設計了 SmartAuth,自動從移動APP的描述、代碼和注釋中收集與安全相關的信息,并生成授權用戶界面。Au等人[121]開發(fā)了PScout,該工具可使用靜態(tài)分析從Android OS源代碼中提取權限規(guī)范,這些規(guī)范應當被開發(fā)人員遵守來提高移動應用的安全性。He等人[122]研究了家庭物聯(lián)網(wǎng)的訪問控制和身份驗證模型的局限性并設想了基于功能的安全模型。

Schuster等[124]將環(huán)境形勢先知(environmental situation oracles,ESO)引入物聯(lián)網(wǎng)生態(tài)系統(tǒng)中作為一流的對象,設計并實施了一種新的物聯(lián)網(wǎng)訪問控制方法,物聯(lián)網(wǎng)訪問控制框架可以使用 ESO來強制執(zhí)行情境約束。

實體交互安全:糟糕的應用程序設計加上 APP與設備之間的不恰當交互有可能導致整個智能家居系統(tǒng)進入不安全的狀態(tài)?；诖?IoTSan[123]利用模型檢查對智能家居中配套的移動應用程序執(zhí)行靜態(tài)分析,從而預測有可能違反系統(tǒng)安全性能的自動化交互操作。與IoTSan執(zhí)行的靜態(tài)分析不同,Celik等人[125]提出一種動態(tài)的、基于策略的 IoT實施系統(tǒng)IOTGUARD,可通過監(jiān)視設備和Trigger-action 平臺應用程序的行為來保障用戶安全。IOTGUARD架構如圖13所示,其系統(tǒng)包括三個組件: 代碼插樁、數(shù)據(jù)采集及安全服務,代碼插樁用于收集應用程序在運行時的信息,數(shù)據(jù)收集在程序運行時接收事件及其對應操作,安全服務根據(jù)一系列物聯(lián)網(wǎng)安全策略對數(shù)據(jù)收集結果進行評估,并強制執(zhí)行符合安全要求的操作。IOTGUARD的設計及實施完全基于SmartThings及 IFTTT平臺,通用性還不夠高,另外用戶與終端設備之間也存在著大量復雜交互,IOTG UARD的監(jiān)視對象還可以繼續(xù)擴展。

圖13 IoTGuard系統(tǒng)架構Figure 13 Architecture of the IoTGuard system

APP接口安全:Google的 Nearby Connections API幫助Android Things或APP發(fā)現(xiàn)附近的設備并與它們建立通信,Antonioli等人[126]對這個閉源專有的API進行逆向分析,發(fā)現(xiàn)并實施兩類攻擊: 連接操縱(connection manipulation,CMA)和范圍擴展攻擊(range extension attacks,REA),對使用該API的所有Android應用程序造成威脅。

基于APP的模糊測試:移動應用的分析方法相較于嵌入式設備更加成熟,因此 Chen等人[127]提出基于APP分析的黑盒Fuzz測試框架—IOTFUZZER,框架利用了供應商編程到 APP中豐富的命令(種子)消息、URL和加密/解密信息,避免了對設備固件提取和復雜的逆向過程。但對于消息經(jīng)由云平臺轉發(fā)到設備的通信架構,IOTFUZZER模糊的請求可能會被云過濾并觸發(fā)防火墻警告,從而影響進一步測試。

4 研究熱點與挑戰(zhàn)

本文統(tǒng)計了2015—2020年上半年之間,除去綜述類及調研類文章之外,中國計算機學會推薦的網(wǎng)絡與信息安全領域CCF A類和CCF B類英文會議與期刊中有關于智能家居安全的90篇文章,對文章中重點研究的內容進行了總結概括,并以詞云的形式展現(xiàn)出近些年來安全人員的研究熱點。

從圖14可以看出,隱私保護、通信加密和傳感器是研究人員最為關注的話題,這是因為智能家居配備了大量的傳感器采集家庭生活中的數(shù)據(jù),但設備端受到計算資源的限制,處理數(shù)據(jù)的能力有限,這些敏感數(shù)據(jù)通常會上傳到云端進行處理。如何保證傳感器有效過濾掉異常輸入、隱私數(shù)據(jù)在各個實體之間傳輸?shù)倪^程不被泄露以及云平臺不會濫用用戶的數(shù)據(jù),已經(jīng)成為智能家居從業(yè)人員亟需解決的問題。其次,設備種類的增長以及家庭成員的多元化也使得身份驗證及訪問控制能力受到挑戰(zhàn),不僅要提高安全性,而且還要兼顧到用戶在認證過程中的體驗感。最后,沒有絕對安全的系統(tǒng),智能家居也不例外,一方面需要安全人員利用模糊測試等技術構建全流程的自動化安全評估,實現(xiàn)在產(chǎn)品上線前的安全把關; 另一方面需要供應商在設計和開發(fā)產(chǎn)品的過程中要考慮到設備被入侵或產(chǎn)生異常的情況,建設基于云的IoT安全防御框架,在產(chǎn)品上線后云平臺要具備特殊情形下快速響應和恢復的能力。

圖14 智能家居安全領域研究熱點詞云圖Figure 14 A word cloud of research hotspots in the field of smart home security

4.1 基于云的IoT安全防御

IoT設備在本質上是易受攻擊的,首先各種 IoT設備的功能截然不同,更新?lián)Q代的周期較長且地理分布位置廣泛,其次IoT設備的數(shù)量在不斷增長,許多設備的存儲及計算資源有限,無法將傳統(tǒng)安全的一些防御措施部署到設備中,這些因素給設備的管理者及維護者提出了安全性挑戰(zhàn)。由于安全漏洞在不斷涌現(xiàn),新的攻擊向量也不斷在被提出,設備的安全性隨著時間在持續(xù)衰退,因此IoT云服務商應該不斷地監(jiān)控設備運行狀態(tài)及審核設備配置情況,例如出站流量的激增可能表明設備已經(jīng)被僵尸網(wǎng)絡控制正在參與 DDoS攻擊; 為設備證書提供安全數(shù)字簽名的加密算法可能隨著計算機和密碼學發(fā)展而削弱。如圖15所示,利用基于云的IoT安全防御機制可以及時發(fā)現(xiàn)設備異常行為及缺陷狀態(tài),并通過控制臺、郵件、手機短信等渠道向設備管理者告警。

圖15 基于云的IoT安全防御系統(tǒng)原理圖Figure 15 Schematic diagram of cloud-based IoT security defense system

IoT安全性的基礎在于控制、管理和配置設備之間的連接,目前已有一些物聯(lián)網(wǎng)平臺向IoT開發(fā)者提供基于云的安全防御服務,對設備的使用情況進行審核、對設備的運行狀態(tài)進行實時監(jiān)測。最基礎的設備監(jiān)控是從設備與云的通信流量中檢測異常行為,如流量大小及頻率激增,這種方式不會給設備帶來額外負擔,但云平臺獲取的設備信息有限,無法對設備的當前狀態(tài)作出全面且精準的判斷,因此 AWS及Azure這兩個全球最具競爭力的物聯(lián)網(wǎng)平臺[128]向開發(fā)者提供了安裝在設備上的代理,收集物聯(lián)網(wǎng)操作系統(tǒng)中的原始安全數(shù)據(jù),并將數(shù)據(jù)發(fā)送到云平臺中心進行處理、聚合、分析、決策。本文對國內外主流的物聯(lián)網(wǎng)平臺進行了調研,發(fā)現(xiàn)只有四個平臺對開發(fā)者提供了設備監(jiān)控服務,其中華為和谷歌的物聯(lián)網(wǎng)平臺僅從平臺日志中獲取基礎項目指標,如流量指標及連接情況; AWS及Azure由于在設備上安裝了代理,能夠采集到更多的設備數(shù)據(jù),因此具有更強的風險識別能力。

表10 基于這四個云廠商提供的安全防御能力,對 IoT平臺網(wǎng)絡監(jiān)控及行為異常檢測能力之間的異同進行了分析總結,其中華為僅對設備消息流量的速度及大小進行監(jiān)測,當超過閾值時,平臺會上報告警; 谷歌使用Cloud Monitoring API查詢和查看設備的運行指標,除了設備流控之外,還具備對活躍設備數(shù)量、設備連接失敗次數(shù)、設備身份驗證識別次數(shù)等情況進行監(jiān)控的能力。亞馬遜 AWS及微軟Azure相比前兩個的基礎監(jiān)控能力,利用平臺的資源整合及計算能力對代理收集的設備數(shù)據(jù)進行多方位的分析,能夠對證書安全、設備認證、設備連接、流量異常、端口異常、日志痕跡等多個風險類別進行監(jiān)測識別。值得一提的是,微軟的代理服務基于C或C#編寫,而AWS IoT設備防御程序的代理SDK基于Python編寫,對計算機硬件資源和媒體文件的訪問能力不如前者,因此Azure具備更強大的設備狀態(tài)監(jiān)測能力,能夠對設備上出現(xiàn)的命令執(zhí)行、類惡意軟件及文件異常等行為持續(xù)分析和監(jiān)控。

表10 主流物聯(lián)網(wǎng)平臺安全防御服務檢測項目Table 10 Test items of security defense services for mainstream IoT platforms

4.2 自動化漏洞挖掘技術

在通用平臺上,模糊測試在漏洞挖掘中的能力已經(jīng)得到展現(xiàn),它通過向目標程序發(fā)送畸形輸入,獲得程序的崩潰狀態(tài),從而發(fā)現(xiàn)潛在漏洞。雖然研究人員提出了許多方法將模糊測試技術應用到嵌入式設備上,但由于物聯(lián)網(wǎng)設備上的程序對硬件配置有著強烈的依賴性,目前的研究工作依然有很大的不足和局限性,表11給出了本文對固件模糊測試工具的綜合比較結果,具體描述如下:

模糊測試技術根據(jù)對目標程序的了解情況,可以分為: 黑盒測試、灰盒測試和白盒測試。由于供應商通常不會公開智能設備的源代碼,因此針對智能設備的白盒測試相對較少。黑盒測試將目標程序視作黑盒,依照約定的輸入規(guī)則生成輸入樣例,程序的執(zhí)行狀態(tài)無法對測試樣例的生成進行指導。代表性的工具有boofuzz[129]、Sulley[130]和 Peach[131],這些工具需要安全人員對通信的數(shù)據(jù)格式進行復雜的分析,而 IoTFuzzer[127]利用了與設備配套的移動應用(帶有豐富的種子、URL及加解密信息),可以生成更符合規(guī)則的測試用例。但這些黑盒測試工具的效率都不高,因為無法收到目標程序的反饋,而且真機的吞吐量很低。

Muench等人[133]的研究已經(jīng)表明,因為臺式機處理器性能要遠勝于物聯(lián)網(wǎng)設備,基于全仿真的方法實際上比真實設備要快。盡管 Chen 等人[132]提出的全系統(tǒng)仿真平臺 Firmadyne,相對于本地執(zhí)行已經(jīng)有了較大的提升,而且Firmadyne解決了由于缺少實際硬件而導致的程序異常,但測試樣本的吞吐率最快也沒有超過15 個/秒。除了全系統(tǒng)仿真之外,還有以 QEMU[134]為代表的用戶模式仿真器以及以Avatar[135]為代表的混合模式仿真器,前者通過動態(tài)二進制轉換提高了吞吐量,但在目標程序有系統(tǒng)調用的情況下,會因為目標程序依賴的環(huán)境與宿主機的差異而產(chǎn)生錯誤; 后者將仿真器與真實的硬件結合起來,解決了環(huán)境依賴帶來的問題,但因為頻繁的軟硬件交互,其吞吐量甚至低于真機。

仿真器只能解決黑盒測試效率不高的一部分原因。以 AFL[136]、LibFuzzer[137]、honggfuzz[138]為代表灰盒測試工具通過監(jiān)控目標程序引導測試用例生成,從而提高代碼覆蓋率以及測試效率。特別是AFL,它以提高代碼覆蓋率為目標,以目標程序的執(zhí)行狀態(tài)為反饋,不斷丟棄無法生成新路徑的輸入,并將能產(chǎn)生新路徑的輸入補充到輸入隊列中,其優(yōu)越性已在工業(yè)界和學術界得到廣泛認同,DARPA發(fā)起的Cyber Grand Challenge中的大多數(shù)決賽選手都將AFL用作主要的漏洞發(fā)現(xiàn)組件。不幸的是,AFL通過用戶模式QEMU支持二進制模糊測試,因此AFL無法簡單應用于測試IoT程序。為了解決AFL受到特定的硬件依賴性的制約,TriforceAFL[139]將QEMU的系統(tǒng)態(tài)仿真與 AFL相結合,實現(xiàn)了基于全系統(tǒng)仿真的模糊器。Zheng等人[140]在此基礎之上,提出了一種新穎的技術,即增強進程仿真 Firm-AFL,它結合了全系統(tǒng)仿真的通用性和用戶模式仿真的效率。但是由于其全系統(tǒng)仿真由 Firmadyne支持,因此Firm-AFL能夠測試的固件數(shù)量取決于Firmadyne能正確地仿真的數(shù)量。

4.3 思考與討論

對于自動化漏洞挖掘技術在智能家居領域的應用,受限于硬件資源、硬件的復雜異構、代碼未公開這三個因素,具備通用性的自動化漏洞挖掘工具尚未出現(xiàn),目前在傳統(tǒng)平臺上表現(xiàn)出色的模糊測試工具在種子生成、固件仿真、設備監(jiān)控、狀態(tài)異常檢測等方面還有比較大的局限性。

對于物聯(lián)網(wǎng)平臺提供的基于云的 IoT安全防御措施,智能家居設備的計算資源和存儲能力是有限的,Azure使用代理技術獲得了良好的設備監(jiān)控能力,但這種方法對設備性能的影響是不可忽略的,因此無法將這種技術部署到所有產(chǎn)品中。研究人員還需要提供統(tǒng)一的IoT威脅管理解決方案,在無安裝代理的情況下改進安全態(tài)勢管理。提供全網(wǎng)絡監(jiān)控和行為異常檢測能力,需要三層威脅防護支撐: 設備配置文件審核、IoT感知行為分析,以及面向IoT的威脅情報。

設備管理者利用基于云的 IoT安全防御可以及時發(fā)現(xiàn)已存在的風險,并通過補丁和框架來緩解,但安全性不是一個靜態(tài)公式,這要求安全運營團隊能夠連續(xù)建模、監(jiān)視和迭代安全最佳實踐,因此需要將風險建模與驗證的過程盡可能自動化。

基于此,本文提出基于 Docker集群的端側自動化威脅模型,如圖16所示。該系統(tǒng)由四部分組成:威脅建模與生成、設備管理、Docker集群以及設備風險庫。

圖16 端側自動化威脅模型架構Figure 16 End-side automated threat model architecture

威脅建模與生成完成了從風險挖掘到自動化模板生成的過程。安全人員需要從設備功能中梳理設備的攻擊面,從中建立新的威脅模型。威脅模型經(jīng)過基于模板融合的自動代碼生成方法,根據(jù)設備連接協(xié)議自動化生成威脅驗證腳本。已經(jīng)建立好的風險模型將存儲在風險庫中,安全人員可以通過設備管理模塊對所有的模型進行管理和利用。

現(xiàn)有的風險評估方法大多是針對傳統(tǒng)網(wǎng)絡系統(tǒng)的,如高校網(wǎng)絡[141-143]、辦公網(wǎng)絡[144-145]、工控系統(tǒng)[146-148],這些方法大多只關心單個主機的安全性能,而忽略了集群效應(如流量攻擊),本文提出的方案第一次將風險評估方法使用在智能家居系統(tǒng)中,使用 Docker集群來模擬設備的整個生命周期,可以滿足大規(guī)模智能家居設備模擬的需求,能夠降低真實設備運行時占用的計算資源和存儲資源,節(jié)省風險模型驗證的成本。另外,一些傳統(tǒng)方案在真實網(wǎng)絡環(huán)境中做滲透測試,模擬攻擊的結果直接影響線上用戶,造成用戶體驗不佳,而本文的方案由于不使用真實設備也不介入線上環(huán)境,風險驗證的結果不對線上用戶造成影響。

5 總結展望

智能家居包含的網(wǎng)絡節(jié)點眾多、設備種類繁雜,使用的協(xié)議多樣,這些特點給智能家居的安全性提出了很大挑戰(zhàn)[149]。本文在調研了關于智能家居安全的文獻之后,首先提出了一個由終端設備、云平臺、移動應用程序及通信管道組成的應用模型,然后分別從這四個層次的角度系統(tǒng)化闡述針對智能家居的攻擊向量及緩解措施的主要研究工作,最后對近些年學術界頻繁探討的熱點議題進行了總結,介紹了主流平臺基于云的IoT安全防御方法,針對模糊測試在智能家居上的應用這一技術難點進行了討論,并提出了基于Docker集群的端側自動化威脅模型。

為維護智能家居的安全,不僅僅需要安全研究人員的努力,還需要以下多方共同努力,來實現(xiàn)一個可信可管且安全的智能家居生態(tài)環(huán)境:

√ 供應商應對每個層面的組件進行正確的安全性開發(fā);

√ 用戶應當提高安全隱私意識并使用安全的配置策略;

√ 政府和國際組織應制定相關的法律法規(guī);

√ 物聯(lián)網(wǎng)標準和聯(lián)盟組織應不斷推動物聯(lián)網(wǎng)安全的規(guī)范化和標準化。

結合前文對智能家居研究熱點及挑戰(zhàn)的討論,對于后續(xù)發(fā)展,本文相關展望如下:

1) 用戶隱私保護

智能家居的廣泛應用使得家庭用戶在隱私保護方面面臨更大的風險,要改善智能家居的隱私保護現(xiàn)狀,需要消費者、供應商及第三方(如政府)的共同努力,如何在敏感信息的實用性和安全性之間做出合適的權衡是這三個利益相關方需要考慮的重點。

2) 訪問控制策略

現(xiàn)有研究通常針對單個設備本身進行分析,強調個體強壯性,大多忽略了實體之間相互依賴的交互行為對安全的影響。由于各個實體間廣泛存在的依存關系,安全人員很難為智能家居中的各個實體劃分出明確的安全邊界職責,這使得靜態(tài)訪問控制方法效果不佳,因此在現(xiàn)有的智能家居系統(tǒng)中,過度特權已成為普遍現(xiàn)象,研究人員需要進一步考慮交互的多樣性和平臺的差異性,從實體間的相互依賴行為入手,設計動態(tài)的訪問控制策略。

3) 固件托管

由于物聯(lián)網(wǎng)設備的多樣性,很難為異構設備設計通用的動態(tài)分析平臺,固件托管通過對固件依賴進行建模分析,以軟件實現(xiàn)的方式代替硬件依賴,但現(xiàn)有的固件托管工具大多僅適用于基于 Linux的系統(tǒng),對于實時操作系統(tǒng)(RTOS)和裸機系統(tǒng)(Bare metal)的固件仿真工具還非常不成熟,因此固件托管的支持范圍還可以進一步擴展。

4) 設備異常檢測和防御

由于計算資源和存儲受限,大多數(shù)物聯(lián)網(wǎng)設備沒有為系統(tǒng)和網(wǎng)絡部署必要的監(jiān)測和防御措施,如何在物聯(lián)網(wǎng)設備上利用更少的系統(tǒng)軟件和硬件資源來實現(xiàn)傳統(tǒng)安全上的防御效果,需要安全研究人員對原有防御系統(tǒng)從輕量級角度進一步優(yōu)化。