- A+
一名安全研究人员在4月份披露了影响200万件物联网设备的缺陷 - 并且尚未看到补丁或甚至收到联系制造商的回复消息 - 在物联网安全的可怕状态下发出声响。
超过200万台连接的安全摄像头,婴儿监视器和其他物联网设备存在严重的漏洞,已经公开披露了两个多月 - 但他们仍然没有补丁甚至任何供应商的回应。
安全研究员保罗·马拉佩斯(Paul Marrapese) 在4月份披露了这些缺陷并且还没有收到任何受影响的供应商的回复,他们发现消费者将这些设备扔掉了。 这些漏洞可能使攻击者劫持设备并监视其所有者 - 或进一步转入网络并执行更多恶意操作。
“我100%建议人们把它们扔出去,”他在播客采访中告诉Threatpost。 “我真的,我认为不会有任何补丁。 问题非常非常难以解决,部分原因是,一旦设备出厂时带有序列号,你无法真正改变它,你无法真正修补它,这是一个物理问题。“
Marrapese表示,他在1月份向设备供应商发送了初步咨询,并在与CERT协调后,由于其严重性,最终在4月份披露了这些缺陷。 然而,即使在披露后的几个月内,尽管多次尝试联系,但他仍未收到任何受影响供应商的任何回复。 他告诉Threatpost,这一事件表明,在安全性,供应商责任以及整体物联网市场方面存在可怕前景。
“我希望我对此更加乐观,”他说。 “安全,我的意思是,这是一个行业广泛的问题,许多公司并不真正知道如何正确威胁模型以及如何正确测试他们的产品或如何正确地构建这些东西......但即使是这样,什么是更令人不安的是,当不可避免地发现漏洞时,没有任何反应。 我从很多其他研究人员那里听说过,基本上是我在发现问题时遇到的完全相同的故事,他们试图联系到他们,只是得到绝对的无线电沉默或完全拒绝。“
对于完整的采访,请听Threatpost播客。
如需直接下载, 请单击此处 。
以下是访谈的轻微编辑记录。
Lindsey O'Donnell :欢迎来到Threatpost播客。 我是Lindsey O'Donnell和Threatpost,今天我和安全研究员Paul Marrapese在这里。 保罗,谢谢你今天加入我们。 你好吗?
Paul Marrapese :我做得很好。 你好吗?
LO :我很好,很高兴听到。 因此,您在4月份的安全摄像头和其他一些连接设备中发现了一些安全漏洞。 我今天想谈谈这个问题。 但首先,你能告诉我们一些关于你自己和你的安全背景吗?
PM :好的。 是的,我真的很安全,因为我还是个小孩子。 这最终是让我学会如何编程的动机,可能是在我10岁或11岁时开始的。 随着我的职业生涯的发展,我从系统管理转向软件开发,最后是安全性。
LO :所以你真的在那里过渡了。
PM :是的,是的。 拥有这样的背景使我具备了很好的能力,能够深入了解正在开发这些东西并找到真正实际威胁的人的心态。
LO :对。 这对于我们今天要讨论的IoT来说非常重要,因为我觉得有很多不同的组件可以进入物联网设备,从软件到硬件再到应用程序开发。 因此,当您查看这些类型的设备时,我确信这真的会发挥作用。
PM :当然。
LO :所以回到四月,只是为了听众的背景,你发现数百万安全摄像头和其他消费电子产品中的对等(P2P)通信技术包括几个关键的安全漏洞,这些使设备暴露于诸如窃听,凭证,盗窃,远程攻击等攻击中。 所以我真的想了解你研究背后的背景以及你是如何偶然发现这些安全漏洞的。 你能从你的角度告诉我们这个故事,你知道,告诉我们你是如何做出这个发现的吗?
PM :当然,我认为描述老一代安全摄像机如何真正起作用将是有益的。 传统上,你需要做的是,一旦你将它连接到你的网络,你将不得不转发一些端口或设置动态DNS,基本上是一些方法,使你可以从外部访问它。 所以,早在2018年1月,我买了一台相机,我插上电源,意识到我能够立即连接到它。 因此,没有手动设置,它只是自动配置自己,这两种都引起了我的兴趣,也有点吓坏了我,对吧。 所以这真的是开始挖掘以了解它是如何工作的灵感。 最终,结果证明是P2P功能。 进一步深入挖掘,我开始意识到这一天在相机中确实是一个非常常见的功能。
LO :您能否仅仅为第二次描述点对点通信以及物联网设备的功能及其流行程度?
PM :好的。 嗯,在高级别,它只是使它,所以你不必实际配置任何东西。 为了连接它,您不必转发任何端口,您不必设置任何动态DNS主机或类似的东西。 它的工作方式是基本上将主页电话回到制造商服务器,并且它将通过多种方式在尝试连接的设备和设备本身之间进行协调。 有几种方法可以做到这一点。 而这些方式可以使阻止特别棘手。
LO :所以你看到的这个特定的解决方案是iLnkP2P,我不知道我是否以正确的方式宣布,但是 -
PM :是的,这是对的。 是啊。
LO :对。 这是由一家名为深圳云尼科技的中国公司开发的。 我猜,有多少设备或品牌有不同的安全摄像头和其他物联网设备正在使用它?
PM :真正指定确切的数字很棘手。 原因是白色标签在该行业中非常普遍。 所以你最终得到的可能是一些主要的制造商然后转售,这些经销商可能会转售,然后继续。 因此,您可能最终会遇到数百个不同的分销商,因此关联这些问题的首要方法仅仅是固件或正在使用的应用程序,但就实际分销商数量而言,我的猜测很容易就是数百个他们。
LO :我肯定会试图弄清楚所有易受攻击的设备以及那里的整个披露过程。
PM :确实如此。 是的,它变得非常困难。 并且有很多追逐,有很多死路一条,因为很多公司不再存在,没有网站,没有办法与他们取得联系。 所以它真正归结为大量的分析,以找到这些不同的东西之间的共同组件,并试图通过它来获得线索。
LO :对。 所以,是的,我想在一秒钟内谈谈披露。 但我确实也希望从技术角度来看待漏洞本身。 在您的报告中,您曾提到有两个漏洞。 那是对的吗?
PM :那是对的。 是。
LO :所以一个是枚举漏洞,另一个是身份验证漏洞。 那么你可以打破这两个错误,利用它们是多么容易,你知道,攻击者真正需要什么。 我的意思是,它可能是遥远的还是他们需要什么样的特权。
PM :好的。 因此,对于枚举漏洞,基本上P2P工作的方式是,当你在手机上并说你在外面时,你想要连接到你的相机,通常的方式是你有一个特殊的序列号称为UID。 然后你把它放到你的应用程序中,然后这将转到制造商服务器并协调连接。 所以UID基本上是连接设备的最终方式。 因此,特别是P2P的特别敏感的原因是因为整点P2P是要安排直接连接,所以要跳防火墙。 所以,如果你有,你可以,你知道,直接连接。 这就是它的重点。
LO :对。
PM :所以你能够预测这些价值的事实是非常危险的,因为你真的可以,我做的只是我写了一个脚本,只能继续计算它们并继续找到它们并建立与他们直接联系。 总而言之,仅凭这一弱点,我就能在世界各地找到超过200万人。 第二个漏洞基本上与设备本身如何通过电话回家并与这些制造商服务器保持连接有关。 我们发现基本上,您可以伪造它发送回主服务器的消息。 它会做的是它为攻击者提供了制作它的机会,以便您可以连接到它们而不是实际的设备,此时您的手机将尝试基本上向攻击者进行身份验证。 此时,他们可以获取密码,他们可以截取您可能正在播放的任何视频。 因此,当你将这两件事结合起来时,它非常可怕,因为你基本上可以选择任意设备并窃取他们的密码。 如果你真的要扩展它,你可以在很大的水平上做到这一点,然后开始左右折衷设备。
LO :我觉得物联网安全特别令人不安的原因之一是,因为这些是正确的在家里,或者你知道,企业办公室或安全摄像机可能在哪里。 所以它真的让你更加个性化地看待这些视频流,这非常可怕。
PM :是的,极具侵略性。 是啊。 我见过那些人说,哦,你知道,这件事只是在我的院子里指出或者看着我的狗或类似的东西是什么大不了的事。 许多人没有真正意识到的另一个威胁是获得像这样的切入点的一个非常普遍的用途。 那么这意味着攻击者可能通过这种方式进入并且他们可能实际上对摄像头本身不感兴趣,他们可能会去,哦,这个网络上的其他设备是什么? 因此,无论是其他计算机还是其他物联网设备,它们都可能继续在整个网络中移动。 例如,如果这是一项业务,他们可能会找到一台服务器。 所以这可以很快升级到其他更严重的事情而不是监视人。 不是那不错。
LO :是的,这是非常具有侵略性的。 您是否了解了那些易受攻击的品牌,或者我认为这些设备,他们是更多的消费者设备还是更多的商用设备或两者兼而有之?
PM :这肯定是一个混合体。 我会说,大多数情况下,你会在住宅中找到这些东西,但我认为一个很好的例子就是餐馆,就像我外出吃饭时一样,我常常试着留意那些餐馆老板可能坚持吃饭的相机。我偶尔会找到一个像我认识的品牌名称。 我在较大的公司看到这些,比如那些可能有更专业的安全系统,但是更小的妈妈和流行的地方,你也可以找到这些东西。
LO :对。 我敢肯定很难认识到餐馆里的东西或诸如此类的东西,因为你知道,你真的无法做任何事情。 我的意思是,一旦泄漏漏洞,您对设备用户的建议是什么?
PM :我100%建议人们把它们扔掉。 我真的,我不认为会有任何补丁。 问题非常非常难以解决,部分原因是,一旦设备出厂时带有序列号,你无法真正改变它,你无法真正修补它,这是一个物理问题。 所以我说我认为不会有解决办法。 问题在于,即使您要在独立网络上对这些内容进行细分,人们仍然可能会因为这些漏洞的工作原因而劫持密码。 所以我说,要缝合这些东西,你知道,花在他们身上的20美元是不值得的。 试着从信誉良好的供应商那里得到一些东西。
LO :我想问你一下这个披露过程,因为你在1月份向设备供应商发送了初步咨询。 你知道,在你的研究中,你说你没有收到许多供应商的任何回复,我相信这也是你必须同时兼顾的大量不同的公司和供应商。 那么你可以分解这个过程是怎样的,自从你4月份发布研究以来,你有没有听过任何人的回复?
PM :因为我将设备与各种OEM和制造商联系起来,我能够获得几个联系电子邮件地址,这是我的第一联系人。 试图接触他们所有人大概两到三次 - 我认为有六到七个不同的 - 他们中没有一个回应我。 经过好几周之后,我就去了CERT,这是一个计算机应急响应团队,在尝试联系供应商并试图协调整个事情的过程中非常有帮助。 他们也没有得到答复。 所以他们也联系了中国的CERT。 根据我的理解,他们也没有得到他们的回应。 所以我提前90天,我告知制造商,我的意图是披露,因为这是一个如此严重的问题。 由于我没有得到回应,我们只是继续披露。
LO :这很疯狂,一般来说,看看物联网设备,五年前,我可能更有希望市场压力会推动这些连接设备的安全性,并且连接设备的安全状态会有所改善,但此时,我是在过去的两年左右,感觉更加悲观,我的意思是,从您的角度来看,与整个行业的各个制造商打交道,您对物联网安全的总体看法是什么以及您认为设备是否安全?
PM :我希望我对此更加乐观。 安全性,我的意思是,这是一个行业广泛的问题,许多公司并不真正知道如何正确威胁模型以及如何正确测试他们的产品或如何正确地构建这些东西。 所以这些问题不会开始。 即使你确实已经采取了所有这些措施,我的意思是,漏洞仍然可能发生。 这只是生活中的一个事实。 我的意思是,那就是人性。 我们不能发展完美的东西,这很好,但他们只需要妥善解决。 所以不幸的是,我不知道我是否真的看到任何适当的架构并进入这些,因为特别是在中国,它通常只是急于尽快进入市场。 其中一些事情并没有太多的想法。 但即使是这种情况,更令人不安的是,当不可避免地发现漏洞时,没有任何反应。 我从很多其他研究人员那里听说过,基本上和我在发现问题时所经历过的故事完全相同,他们试图联系他们,只是得到绝对的无线电沉默或完全拒绝。 所以不幸的是,这是一种模式。 而且我不知道我是否会很快看到它消失。
LO :对。 我们正在看到新的监管工作 ,如果您熟悉加州参议院法案327 ,我不知道。 我们让英国政府宣布一项新的授权,承诺为物联网制造商提出新的要求。 这会让你更有希望吗? 或者您认为在为物联网供应商提出更多要求方面需要更多充实。
PM :我不知道那些具体的细节。 但是,我可以说的一件事是,如果你从这些法律产生影响的地方以外购买东西,它实际上也可归结为它。 所以,如果,显然,我在美国,但如果我从中国购买有不同法规的东西,并且可以强制执行这些法律,那么这个问题可以得到补救的方式是供应商层面供应商的地方 - 例如,如果我从亚马逊获得这个 - 也许他们应该从他们提供的产品中做出更好的选择。 如果他们从中国销售产品,并且他们知道那里的法律没有那么严格,他们仍然最终将这些有缺陷的产品带到这个国家,问题将继续存在。
LO :这是一个非常好的观点。 而且我认为它的成本方面也将在未来发挥重要作用。 我不确定能带来安全性的程度。 但我知道,就像你说的那样,现在很多制造商都在寻求以最低的价格尽快购买他们的设备。 但我不知道在一两年内是否值得继续缺乏这些设备中的安全性,特别是随着消费者和企业越来越意识到这一点。 所以,应该是有趣的看到。 嗯,保罗,非常感谢你今天来到Threatpost播客,并谈论了物联网设备和你在那里的研究。
PM :当然,谢谢你拥有我。
LO :太好了。 再来一次。 我是Threatpost的Lindsey O'Donnell,我们今天与安全研究员Paul Marrapese进行了很好的讨论。
勒索 软件正在崛起: 不要错过 6月19日美国东部时间下午2点在勒索软件威胁形势下的 免费 威胁 邮件网络研讨会 。 加入 Threatpost 和来自Malwarebytes,Recorded Future和Moss Adams的专家小组讨论 如何管理与这种独特攻击类型相关的风险, 独家 洞察勒索软件前沿的 新发展以及如何保持领先于攻击者。