2017 年是物聯網安全事件頻發的一年。

·? 2017 年 3 月，Spiral Toys 旗下的 CloudPets 系列動物填充玩具泄露 200 萬父母與兒童語音信息。

· ?4 月，安全公司 Comsecuris 的一名安全研究員發現，未公開的基帶漏洞 MIAMI 影響了華為智能手機、筆記本 WWAN 模塊以及 loT(物聯網)組件。

·? 7 月，美國自動售貨機供應商 Avanti Markets 遭遇黑客入侵內網。攻擊者在終端支付設備中植入惡意軟件，并竊取了用戶信用卡賬戶以及生物特征識別數據等個人信息。

·? 10 月，WiFi 的 WPA2(一種保護無線網絡安全的加密協議)被曝存在重大漏洞，黑客可任意讀取通過 WAP2 保護的任何無線網絡信息。

· ?12 月，美國交通指示牌被黑客攻擊，播放反特朗普語言。

……

數量龐大且安全性薄弱的物聯網智能終端設備已然成為攻擊者的新型利器。而隨著物聯網智能終端數量的不斷增加，其信息安全事件也將呈快速上升趨勢，此類攻擊將會更加頻繁、范圍更廣且破壞性更強。最近梆梆安全研究院發布了《物聯網智能終端信息安全白皮書》，從終端安全風險、終端安全隱患以及典型攻擊方式剖析了物聯網智能終端存在的安全風險。

終端安全風險

DDoS攻擊破壞正常業務

由于物聯網智能終端數量龐大，目前已經成為攻擊者組建“僵尸網絡”的主要來源，并正在逐漸成為DDoS攻擊發起的重要陣地。

大量物聯網智能終端或因被惡意攻破，或因自身存在漏洞，陸續淪為“肉雞”被黑客遠程控制，變成用來發動DDoS攻擊的工具。

個人隱私泄露

如今，越來越多的家庭都在使用智能攝像頭，人們通過智能攝像頭與異地的家人進行溝通，借助智能攝像頭遠程監控家庭內部安全狀況。然而智能攝像頭里潛藏的安全漏洞，卻在讓其變為黑客偷窺家庭個人隱私的“幫兇”。

2017年6月18日，央視報道大量家庭攝像頭遭入侵。黑客破解了大量家庭智能攝像頭，在網上進行傳播，建立了大量網絡攝像頭破解交流群，對家庭個人隱私進行“偷窺”，觀看用戶的日常起居，甚至將破解終端的IP地址、登錄名和密碼在網上公開叫賣，引發很多家庭對智能終端使用的安全擔憂。攻擊者主要依靠掃描軟件在網絡進行大范圍掃描，然后用弱口令密碼的方式來實現設備的控制。

隨后國家互聯網應急中心在市場占有率排名前五的智能攝像頭品牌中隨機挑選了兩家，進行了弱口令漏洞分布全國性監測，結果令人十分驚訝：僅僅兩個品牌的攝像頭竟然有超過十余萬部設備里存在弱口令漏洞。

危及用戶人身安全

隨著互聯網發展和工業智能化趨勢，汽車產業也在向智能化、網聯化發展，智能網聯汽車作為智慧交通物聯網絡當中極為重要的智能終端，其信息安全問題日益嚴峻，信息篡改、病毒入侵等手段已成功被黑客應用于智能網聯汽車攻擊中，智能網聯汽車的信息安全危機不僅能夠造成個人隱私泄露、企業經濟損失，還能造成車毀人亡的嚴重后果。

國家關鍵基礎設施遭破壞

隨著智慧城市的大力發展，在國家關鍵性基礎設施建設當中，也有很多物聯網智能終端在被廣泛使用，這些事關國計民生的基礎設施一旦遭遇風險，勢必引發重大后果，可能會造成無法估量的經濟損失，甚至會引起社會恐慌。

2008年8月5日，土耳其境內跨國巴庫-第比利斯-杰伊漢石油管道發生爆炸，破壞了石油運輸管道，中斷了該管道的石油運輸。這條管道內安裝了探測器和攝像頭，然而在爆炸將管道破壞前，卻沒有收到任何報警信號，攝像頭也未能捕獲爆炸事件發生的畫面。后經調查發現，引發事故的緣由是監控攝像頭本身。黑客利用網絡攝像頭的通信軟件漏洞，攻入內部系統，并在一臺負責警報管理網絡的電腦上安裝了一個惡意程序，然后滲透到管道操作控制系統，在不觸動警報的情況下加大管道內壓力，石油管道內的超高壓力導致這次爆炸的發生，并且黑客刪除了長達60個小時的監控錄像“毀尸滅跡”，沒有留下任何線索。

終端安全隱患

在物聯網大力發展的同時，物聯網智能終端將廣泛覆蓋在各個行業和領域，深入涉及國家關鍵基礎設施、工業設備、智慧家庭、個人生活等，如果缺乏必要的安全保障，必將埋下極大的安全隱患。由于成本和技術成熟等原因，物聯網系統在信息安全防護方面呈現“重平臺、輕終端”的狀況，物聯網各類終端由于數量龐大或資源、技術等能力的限制，防護能力普遍較弱，成為物聯網系統信息安全的薄弱環節。

物聯網智能終端面臨的主要安全隱患可分為以下幾類。

1.軟件漏洞

目前，很多終端生產廠商普遍缺乏安全意識和安全能力，在終端操作系統、固件、業務應用等軟件的設計和開發過程中并未做任何安全考慮，導致軟件存在編碼或者邏輯方面的安全漏洞和缺陷，可以使攻擊者在未授權的情況下非法利用或破壞。

部分生產商為了節約開發成本，使用通用、開源的操作系統，或直接調用并未做任何安全檢測的第三方組件，給物聯網智能終端帶來了極大的安全風險，很可能會引入一些公開的軟件漏洞，極易被黑客利用。一旦這些漏洞被利用，同類設備都將遭受影響。另外，物聯網智能終端上所安裝的業務應用，普遍沒有做相應的識別和控制機制，例如應用軟件的來源識別、應用軟件的安裝限制、對已經安裝應用軟件的敏感行為控制等，很容易被攻擊者安裝惡意程序或進程來實施攻擊行為。

由于物聯網智能終端種類繁多、數量龐大，為企業帶來了管理上的困難，再加上多數使用者安全意識不強、軟件久不更新等，導致很多物聯網智能終端的軟件漏洞難以修復，且大量的這些設備直接暴露于互聯網。同時，針對物聯網智能終端的惡意程序越來越多，傳播手段也不斷更新，很容易被黑客所利用。

2.硬件設計缺陷

針對物聯網智能終端，除了軟件層面的安全，硬件安全也是必不可少的。物聯網智能終端多數被放置在不安全的物理環境當中，攻擊者很容易接觸到，而且終端普遍成本不高，攻擊者也可以輕易獲取。因此對物聯網智能終端的硬件設計提出了更高要求，終端生產商在設計開發過程當中應當考慮并實施相應硬件保護機制。

物聯網智能終端如果在硬件架構設計上未做安全考慮，會為惡意攻擊者提供諸多“便利”。例如，設備在外殼設計上如果沒有做相應的防拆除設計，攻擊者將能很容易拆除外殼接觸到內部硬件，利用工具直接從內部硬件組件中提取固件或數據，然后加以分析尋找可以利用的漏洞進行攻擊；設備在芯片、模組或者電路板等硬件上如果沒有相應的防篡改、防逆向設計，攻擊者就可以對終端的硬件實施篡改、逆向工程或克隆；設備如果沒有相應的電磁信號屏蔽機制，攻擊者則可通過側信道攻擊方式來進行密碼系統的分析和破解。因此，物聯網智能終端硬件設備在設計時如未做相應的安全考慮，則會遺留極大的安全隱患。

3.調試接口未做保護

通常為了便于終端維護，設備生產廠商會預留相應的硬件或者軟件調試接口，以便于進行運維過程當中的本地調試或者遠程調試。如果能在硬件層面實施主動篡改保護功能，就可對終端內部各硬件模塊和物理接口進行一定程度的安全保障。但是基于成本考慮，大多數物聯網智能終端不具備如此高強度的安全保護手段，也可能沒有任何保護措施，這意味著攻擊者可以很容易地訪問終端的內部硬件，接觸到預留的硬件接口，例如USB接口、JTAG接口、串口、網口等。當前，多數生產廠商在預留接口上并未做安全保護，例如接口禁用、認證和訪問控制等，攻擊者可以利用暴露的物理接口直接訪問設備固件，進行固件提取和分析，或者利用遠程的軟件調試接口進行非授權訪問，實施系統層面的操作，更改系統或應用配置。甚至部分終端還遺留了生產調試接口或開發接口，為惡意攻擊者深入物聯網智能終端內部核心提供了便利。

4.不安全的通信機制

數據通信傳輸也是物聯網智能終端安全當中非常重要的一部分，現在越來越多的黑客開始針對通信傳輸協議進行破解攻擊。在物聯網智能終端和云端或者終端之間進行信息通信傳輸過程中，容易遭受流量分析、竊取、嗅探、重放等網絡攻擊，進而導致傳輸信息遭到泄露、劫持、篡改等威脅。物聯網智能終端通信傳輸所使用的網絡類型、接入協議、通信協議類型有很多，結合不同的物聯網智能終端產品和業務類型，所面臨的安全問題也很復雜。

目前已經有黑客通過分析破解智能家電、無人機等物聯網智能終端設備的通信傳輸協議，實現了對物聯網智能終端的入侵。物聯網智能終端的網絡通信協議自身安全性十分有限，而某些終端所采用的自定義網絡通信協議的安全性則更為堪憂。而且，現在較多的物聯網智能終端在網絡通信過程中，所傳輸的信息數據僅采用很簡單的加密方法，甚至沒有采用任何安全加密手段，直接對信息進行明文傳輸，黑客只要破解通信協議，就可以直接獲取傳輸數據，并任意進行篡改、劫持、屏蔽等操作。因此，通信傳輸協議和傳輸內容保護是物聯網智能終端安全通信需要重點關注的兩個部分。

目前許多安全通信措施都是為通用計算設備所設計，由于計算資源或系統類別的限制，很難在物聯網智能終端上實現。物聯網智能終端采用缺乏加密的通信機制，通信數據部分或全部明文傳輸，且物聯網絡很少具有網絡分段隔離機制，這些都使得物聯網智能終端極易遭受同網段網絡的病毒感染、惡意訪問或非法操控。

5.薄弱的身份認證和授權機制

在物聯網智能終端接入物聯網系統，或者終端之間互聯互通時，需要依靠身份認證來識別連接設備的合法性，通過授權來訪問目標程序或文件，如果沒有身份認證和授權機制，可能會有冒用的終端接入網絡，或者重要的敏感數據被進行不合法的訪問，會給整個系統帶來極大的安全問題。

在很多物聯網系統當中，終端規模很大，且相互協同工作的終端可能屬于不同的供應商，使用不同軟硬件框架的終端彼此間缺乏統一的身份認證標準，很難實現終端之間的身份認證。傳統的身份認證和授權體系通常是針對用戶身份，對于物聯網智能終端，其身份可能不涉及任何個人用戶，而且部分智能終端還需要實現自動化的方式進行連接和通信，這為物聯網智能終端的認證增加了復雜性，而基于成本考慮或者缺乏安全技術能力，一些生產商在終端上使用了很簡單的身份認證手段，不嚴格的授權訪問控制，甚至有的終端沒有任何身份認證和授權訪問機制，為終端安全埋下了嚴重的安全隱患。另外，有的終端針對身份認證信息未做加密保護，在認證信息傳輸過程中，攻擊者可以截獲并進行篡改，或者以重放的方式繞過身份認證和授權體系接入網絡。

現在物聯網智能終端身份認證和授權不足是普遍存在的問題，大量智能終端還在使用弱密碼，或者使用缺省登錄賬號和密碼，甚至一些設備沒有設置缺省密碼，登錄不需要任何認證，黑客很容易就能獲取到這類設備的控制權。

6.缺乏軟件安全更新機制

無論物聯網智能終端開發商在設備軟件開發過程當中是否結合了安全性的考慮，在軟件上都不可避免地會存在安全漏洞，包括設備操作系統、固件和業務應用等。有些生產商為了節約開發成本，使用通用、開源的固件或操作系統，直接調用第三方組件，很可能會引入公開的軟件漏洞，導致終端在出廠時就已經存在安全問題。有些終端出廠時安裝的軟件，由于未及時更新，也可能在未來出現安全漏洞。如果沒有相應的軟件更新機制，設備漏洞會一直存在而無法修復。目前，大部分物聯網智能終端沒有自動系統升級和漏洞修復機制，即使在軟件當中發現高危漏洞，它們也很難被升級修復，極易被攻擊者利用，而設備使用者的忽視更會讓這一問題迅速擴大。因此，除非擁有持續的軟件安全更新機制，否則物聯網智能終端將存在較高的軟件漏洞風險。

另外部分廠商沒有注意到軟件在升級過程當中的安全性，部分物聯網智能終端擁有軟件更新機制，但是卻忽略了軟件更新過程的安全性，軟件升級包升級過程中沒有完整性和合法性驗證，容易被攻擊者從中劫持或更改軟件升級包，而沒有進行過加密處理的軟件升級包，則可能會被攻擊者截取用于發起中間人攻擊，從而將惡意程序升級到終端當中。因此，不安全的軟件升級機制往往會“制造”出更大的安全漏洞。

7.缺少敏感數據保護機制

物聯網智能終端作為物聯網的感知層主要進行信息采集，終端上往往會涉及到重要敏感業務數據或者個人的隱私信息，例如智能電表的用電信息、家庭智能家居采集的用戶數據、智能穿戴設備采集的個人信息等，這些終端上面的敏感數據可能會被攻擊者直接篡改或者加以利用。另外，設備與設備之間也存在數據泄露渠道，在同一網段或相鄰網段的設備可能會查看到其它設備的數據信息。

在物聯網系統當中，大家普遍關注云端存在的數據泄露風險，而且部分傳統云端數據安全解決方案也可以移植到物聯網云端防護當中，但是作為更貼近信息源的物聯網智能終端，往往也面臨嚴重的信息泄露風險，且未被予以足夠重視。由于物聯網智能終端硬件資源限制，或由于成本因素，當前多數終端缺少敏感數據保護手段，而且沒有明確的信息采集、傳輸和訪問控制規范，因此物聯網智能終端將會面臨更大的信息泄露風險。

典型攻擊方式

研究發現，對物聯網智能終端的攻擊通常都為“黑盒”形式，攻擊方式分為近程攻擊和遠程攻擊兩種。

近程攻擊是通過接觸硬件而進行的攻擊。由于攻擊者對要攻擊的終端硬件架構、核心芯片參數、接口類型等信息一無所知，這就需要攻擊者從硬件入手一步步去分析并獲取上述信息，同時利用萬用表、示波器等設備定位下載接口或調試接口，最終獲取到終端的固件信息。

遠程攻擊是指利用終端的漏洞或缺陷進行的非接觸式攻擊，主要包括利用系統或第三方應用漏洞進行攻擊；通過遠程在智能終端中安裝木馬或非法程序；對OTA升級包實施非法篡改；通過干擾、嗅探、偽造等方法對Wi-Fi、藍牙等無線通信協議進行攻擊。

下面是3個在實驗室研究和產品滲透檢測過程中發現的比較典型的物聯網智能終端成功滲透案例。

案例一：某寬帶運營商OTT盒子滲透測試

作為物聯網娛樂終端，OTT盒子是某寬帶運營商寬帶的附贈產品，為后續內容增值服務提供基礎，目前中國三大運營商都在大量拓展OTT盒子的部署。OTT盒子的設備鑒權通過寬帶帳號實現，并且需要對寬帶服務類別進行判定。除了鑒權以外，OTT盒子針對外設接口進行了訪問控制，使得這套系統的安全系數進一步提高。

由于OTT盒子都采用Android操作系統，盒子內安裝了很多Android應用，并且這些應用都是第三方廠商所開發，其對信息安全的考慮極為有限，同時Android操作系統本身也存在很多漏洞，盒子開發商并不一定會修復這些漏洞，因此針對這類設備通常的黑盒測試思路是從Android應用入手，從應用、操作系統本身代碼漏洞以及網絡連接方面入手，最終實現破解。

基于上面的思路，滲透人員在眾多應用中發現了一款名為《邊鋒象棋》的游戲在網絡傳輸中采用了明文，借此逆向該應用代碼進一步發現了更為嚴重的安全漏洞，因此可從這個應用入手進行黑盒滲透測試。

具體滲透測試流程如下：搭建DNS服務器，并且在DNS服務搭建中，使用了很多靈活的python腳本，針對滲透目標程序進行安全過濾，DNS服務器搭建好了之后，設置OTT盒子連接該DNS服務器。

網絡連通之后，打開邊鋒象棋，發現通信協議均為明文，但是有一部分簽名以及包屬性的校驗，應用商店下載App會進行這些校驗。滲透人員在DNS服務器對這些App屬性進行設置，然后利用新安裝的App來激活Android系統中的漏洞。測試發現，系統果然成功安裝了偽裝的《邊鋒象棋》應用，并且執行了里面的非法代碼。

這些非法代碼實際上就是執行了系統的一個預留功能。OTT盒子的開發人員為了調試方便，將ADB服務進行了簡易隱藏，運維階段利用一個特殊的命令就可以激活隱藏的ADB服務。這個服務通過接收一個特定的Message消息來實現這個功能，借助該Message信息可以獲取Root Shell權限，完成OTT盒子的破解。

案例二：某公司IP攝像頭破解

IP攝像頭的安全性一直是物聯網安全行業重中之重的話題，近年來攝像頭相關的安全漏洞更是層出不窮。可以確定的是，隨著IP攝像頭智能化以及云共享功能的發展，擴展的智慧功能、連接將給黑客提供更多的攻擊方式以及渠道。如明文傳輸和系統漏洞，就可能被黑客利用來實施非法入侵操作。

IP攝像頭一般都會使用Linux嵌入式系統，而開源的Linux在每個版本上均存在很多安全漏洞，大多數IP攝像頭廠商都未能對這些安全漏洞及時進行修復。即使漏洞已經修復并推出安全升級包，但由于OTA升級機制的缺乏，很多IP攝像頭都無法及時更新軟件，導致安全漏洞仍然遺留。所以針對該類設備的滲透測試應該從Linux操作系統漏洞入手。

市場上某款常用攝像頭外部可通過網線進行連接，并且有1個SD卡槽。通過掃描可發現，該攝像頭設計者打開了很多關鍵端口。對比公開的CVE漏洞庫，發現這款IP攝像頭是一款安全漏洞較多的設備，并且當前IP攝像頭大部分都是使用公開標準的終端固件與WebUI，所以可以通過某個公開的WebUI漏洞尋找突破口。

具體滲透測試流程如下：在通過WebUI的一個POST請求對攝像頭進行本地解析的時候，會對字符串解析過度，執行字符串后段不該執行的代碼，借此可對關鍵端口的密碼進行重置，使得滲透人員在外部就直接連接上RootShell，成功實施破解。

案例三：某智能網聯汽車滲透檢測

隨著汽車智能化的高速發展，安全問題逐漸擺上臺面，梆梆安全研究院所承接的某款智能網聯汽車安全滲透項目里就包括 T-BOX 和 IVI 智能終端的安全滲透。

智能網聯汽車里的T-BOX大多使用傳統嵌入式實時操作系統；車載信息娛樂系統IVI主要使用三大主流操作系統：Linux、Android和QNX，不過當前IVI的系統有向Android操作系統靠攏的趨勢；App也是目前智能汽車的標配之一，可以實現開車門、車窗、空調等車身控制功能。通常情況下針對這類智能終端的滲透測試，大多會從最復雜、潛在漏洞最多的IVI系統入手。

在App、IVI到T-BOX這一鏈條中，其中某個環節一旦出現安全問題，都會對整個智能網聯汽車造成嚴重威脅。

具體滲透測試流程如下：首先從智能網聯汽車常見的IVI中的娛樂App入手，提取出其中的一款盜版“導航App”，滲透人員控制住其外網環境，針對這款App進行強制更新。發現該款App在更新時沒有針對更新源的網絡環境以及App包真偽性進行安全校驗，那么滲透人員就可以替換這個升級包，將針對性的攻擊程序安裝在IVI上，然后進一步控制整個IVI系統。

進入IVI系統后，同時又發現了嚴重的鑒權與接口暴露安全問題。IVI系統對汽車CAN總線保留了一個權限過大的接口，利用這個接口，不僅可以實現IVI服務，甚至可以猜測出部分T-BOX的功能。且工作人員為了便于維護還遺留了一個ADB組件在T-BOX中，滲透人員進一步利用這個組件，獲取到了T-BOX的Root權限，實現了對智能網聯汽車T-BOX和IVI終端的安全滲透。