智能家居设备远程绑定过程的安全评估与增强.pdf

资源描述

1、第2卷第3期2 0 2 3年5月信息对抗技术I n f o r m a t i o n C o u n t e r m e a s u r e T e c h n o l o g yV o l.2 N o.3M a y 2 0 2 3引用格式:冯超,陈炯峄,张斌.智能家居设备远程绑定过程的安全评估与增强J.信息对抗技术,2 0 2 3,2(3):1 8-3 4.F E N G C h a o,CHE N J i o n g y i,Z HAN G B i n.S e c u r i t y a s s e s s m e n t a n d p r o t e c t i o n f

2、 o r r e m o t e b i n d i n g o f s m a r t h o m e d e v i c e sJ.I n f o r m a t i o n C o u n t e r m e a s u r e T e c h n o l o g y,2 0 2 3,2(3):1 8-3 4.(i n C h i n e s e)智能家居设备远程绑定过程的安全评估与增强冯超,陈炯峄*,张斌(国防科技大学电子科学学院,湖南长沙 4 1 0 0 7 3)摘要为了对智能家电进行远程管理,移动端应用程序得到了广泛应用,智能家电设备、用户和云端之间的远程绑定成为实现设备安

3、全远程访问的关键。为此,主要研究了智能家居远程绑定中的安全威胁问题。首先,建立了远程绑定的全过程状态机模型;然后,基于该模型,系统分析了针对1 0款远程家居设备的远程绑定方案,并发现了多个安全缺陷;最后,提出了一个增强的远程绑定方案I o T B i n d e r,该方案针对现有远程绑定中静态设备 I D容易被暴力破解或泄露问题,从云端生成动态设备I D并通过用户传递给设备完成远程绑定。通过安全协议分析工具P r o V e r i f的验证表明,I o T B i n d e r可有效保护远程绑定过程,性能开销可以忽略不计。关键词智能家居;物联网;远程绑定;漏洞评估;安全增强中图分类号

4、TN 9 1 5.0 8 文章编号 2 0 9 7-1 6 3 X(2 0 2 3)0 3-0 0 1 8-1 7文献标志码 A D O I 1 0.1 2 3 9 9/j.i s s n.2 0 9 7-1 6 3 x.2 0 2 3.0 3.0 0 2S e c u r i ty a s s e s s m e n t a n d pr o t e c t i o n f o r r e m o t e b i n d i ng o f s m a r t h o m e d e v i c e s F E NG C h a o,CHE N J i o n g y i*,Z HAN G B

5、 i n(C o l l e g e o f E l e c t r o n i c S c i e n c e a n d T e c h n o l o g y,N a t i o n a l U n i v e r s i t y o f D e f e n s e T e c h n o l o g y,C h a n g s h a 4 1 0 0 7 3,C h i n a)A b s t r a c t S m a r t h o m e a p p l i c a t i o n s h a v e b e e n i n c r e a s i n g l y d e p l

6、 o y e d t o h e l p u s e r s r e m o t e l y m a n a g e s m a r t h o m e a p p l i a n c e s.T h e c o mm u n i c a t i o n a r c h i t e c t u r e i n s m a r t h o m e u s u a l l y i n-v o l v e s t h e s m a r t h o m e d e v i c e,t h e u s e r a n d t h e c l o u d.T o e n a b l e r e m o

7、t e a c c e s s,c o mm u n i c a-t i o n b e t w e e n a u s e r a n d a d e v i c e i s r e l a y e d t h r o u g h t h e c l o u d.I n t h i s p a p e r,w e s t u d i e d s e c u r-i t y t h r e a t s i n t h e r e m o t e b i n d i n g o f s m a r t h o m e.F i r s t,w e p r o p o s e d a s t a t

8、 e-m a c h i n e m o d e l t o d e s c r i b e t h e l i f e c y c l e o f r e m o t e b i n d i n g,a n d t o d e m y s t i f y c o m p l e x i t y i n v a r i o u s r e m o t e b i n d-i n g d e s i g n s.W i t h s u c h a s t a t e-m a c h i n e m o d e l,w e s y s t e m a t i c a l l y e x a m i

9、 n e d 1 0 r e a l-w o r l d r e-m o t e b i n d i n g d e s i g n s a n d e x p o s e d t h e i r a t t a c k s u r f a c e s.O n t h e o t h e r h a n d,t o m i t i g a t e t h e s e c u r i t y t h r e a t s,w e p r e s e n t e d a n e w r e m o t e b i n d i n g s o l u t i o n c a l l e d I o T

10、 B i n d e r.O n e f u n d a-m e n t a l c a u s e o f t h e r e m o t e b i n d i n g r i s k i s t h e n a t u r e o f s t a t i c d e v i c e I D s u s e d i n s m a r t h o m e d e v i c e s,w h i c h c o u l d b e e a s i l y l e a k e d b y b r u t e-f o r c i n g o r t h r o u g h o w n e r s

11、 h i p t r a n s f e r.I o T-B i n d e r a d d r e s s e s t h i s i s s u e b y g e n e r a t i n g a d y n a m i c d e v i c e I D f r o m t h e c l o u d a n d d e l i v e r i n g i t t o t h e d e v i c e t h r o u g h t h e u s e r.F u r t h e r e v a l u a t i o n d e m o n s t r a t e d t h a

12、 t I o T B i n d e r w a s e f f e c t i v e 收稿日期:2 0 2 3-0 3-2 9 修回日期:2 0 2 3-0 4-1 5通信作者:陈炯峄,E-m a i l:j i o n g y i_c h e n 1 2 6.c o m第3期冯超,等:智能家居设备远程绑定过程的安全评估与增强 i n p r o t e c t i n g r e m o t e b i n d i n g a t t a c k s w i t h n e g l i g i b l e p e r f o r m a n c e o v e r h e a d.K

13、e y w o r d s s m a r t h o m e;I n t e r n e t o f t h i n g s;r e m o t e b i n d i n g;v u l n e r a b i l i t y a s s e s s m e n t;s e c u r i t y p r o t e c t i o n 0 引言随着移动通信技术的广泛应用,智能家居得到了迅速发展。智能家居允许用户通过手机上的移动应用程序远程访问智能家居设备,给人们的生活带来了巨大的便利。为实现远程控制,通常需要一个位于云端的服务器作为用户和设备之间的中继。这样即使用户不在家,仍然可以通过手

14、机应用程序远程访问家中的智能家居设备。与传统的服务器/客户端通信架构不同,智能家居通信架构通常涉及三方:智能家居设备(以下简称为设备)、终端用户(或作为用户代理的移动应用程序,以下简称为用户)和云端服务器(以下简称为云端),它们在远程访问过程中的安全问题尤为重要。为确保远程控制的安全性,智能家居常使用一个远程绑定的交互过程。远程绑定一般分为4个步骤:首先,用户和设备分别向云端进行认证;然后,用户和设备在本地网络中相互绑定,设备I D等设备相关的信息被传递给用户;随后,用户和设备都将设备I D提交给云端,创建该用户与设备的绑定关系;最后,用户实现远程控制该设备。当用户重置设备时,云端将撤销他与设

15、备的绑定关系。由于远程绑定关系决定了后续设备的可用性和控制安全性,云端在远程绑定过程中还需对设备和用户进行身份验证,并为用户正确地分配和绑定权限。由于远程绑定过程复杂,厂商的实现方案各异,为了清晰地分析其中的安全风险,本文首先提出了基于状态机的远程绑定过程建模方法,将远程绑定过程表示为设备的状态转换过程。该模型能描述远程绑定过程的基本功能,揭示各种远程绑定方案的关键过程。然后基于提出的状态机模型检查了1 0款智能家居供应商的远程绑定方案,系统评估了其中的安全风险。评估结果表明:对于大多数设备而言,攻击者可以通过滥用设备I D和利用有缺陷的授权来实施远程攻击,实现获取敏感信息、用户绑定拒绝服务、

16、中断用户连接,甚至完全控制智能设备等目的。为此本文提出了一种新的远程绑定方案I o T B i n d e r,用于保护远程绑定的整个过程。该方案中用户从云端请求随机的动态设备I D,在设备配置期间交付给设备。动态设备I D可以确保设备身份不会被伪造,且仅与其所有者绑定,能很好地解决设备所有权变更期间可能产生的撤销绑定安全问题。评估表明,I o T B i n d e r可在不更改硬件的情况下轻松部署,能够有效防止远程绑定攻击,性能开销非常小。1 研究背景1.1 智能家居中的远程绑定智能家居环境中的通信通常涉及三方:设备、用户和云端。设备常用于感知家居状态信息,例如智能插座、远程摄

17、像头、智能灯泡、智能火警传感器等,它们可以独立工作,也可以由多个设备协同工作;用户为智能家居设备的使用者,通过供应商开发的移动应用程序对远程智能家居设备进行管理。智能家居系统有本地连接模式和远程连接模式2种方式。在本地连接模式中,用户和设备以家庭路由器为中继,在本地局域网内进行通信;在远程连接模式中,用户与设备不在同一局域网内,需通过云端在互联网中继消息。远程绑定用于保护远程连接模式的安全,包括用户认证、本地配置(设备认证和本地绑定)、绑定创建和绑定撤销4个步骤,如图1所示。首先,用户需要登录云端验证自己的身份;然后,用户将设备与其移动应用程序关联,使其能够通过本地

18、网络访问互联网;最后,手机和设备分别与云端通信,云端为其建立绑定关系,用于保护后续的远程连接。如果用户后续重置了设备,那么云端需要撤销该用户和设备之间的绑定关系。1)用户认证。智能家居供应商通常采用基于口令的方案对用户进行验证1。验证通过后,云端返回一个用户令牌作为后续步骤的凭证。2)本地配置。设备通过局域网向云端进行91 信息对抗技术2 0 2 3年身份验证,并与用户的智能手机应用程序配对。网络连接。为了能访问云端,设备一般连接到家庭路由器上。对于无线设备,一些厂商使用S m a r t C o n f i g2和A i r

19、 k i s s3等技术以增加操作便利性。设备认证。设备访问网络后,向云端发送包含其设备信息的令牌进行身份验证。同时,还将固件版本、型号名称等状态和属性信息上报到云端。本地绑定。应用程序和设备通过局域网完成相互发现和关联。在某些解决方案中,设备和应用程序采用服务发现协议,例如,简单服务发现协议(S S D P)4广播并交换描述信息。有些供应商会在设备上附加包含设备信息(例如,设备I D或配对I D)的标签5-7,要求用户在本地绑定时在应用程序中填写该信息。当应用程序获取到设备信息后,它会广播包含该信息的消息与设备进行本地绑定。3)绑定创建。应用程序或设备会将包含设备信息和用户信息(例如用户令牌

20、)的绑定消息发送到云端。创建绑定后,应用程序和设备即可远程通信。图1 远程绑定基本过程F i g.1 B a s i c p r o c e d u r e o f r e m o t e b i n d i n g4)绑定撤销。当用户重置设备或在应用程序中删除设备时,需撤销绑定关系。为此应用程序或设备会向云端发送解除绑定消息。由于用户认证和本地绑定已经有成熟的解决方案,因此重点关注设备认证、绑定创建和绑定撤销方面的安全威胁。1.2 远程绑定安全的研究现状鉴于独特的通信架构,物联网(I n t e r n e t o f t h i n g s,I o T)中的身份验证方案在以

21、前的工作中得到了大量研究8-1 3。与本文工作最相关的工作集中在无线传感器网络(WS N)中的身份验证问题。在WS N 中存在三方:传感器节点、网关节点和用户。用户可以与网关节点或传感器节点通信。关于WS N研究1 4-1 9,研究人员提出了各种场景下的仲裁相互身份验证协议,例如用户与网关节点之间的身份验证1 7,1 9,所有三方之间的相互身份验证2 0,以及特定用户和特定传感器节点之间的身份验证1 8,2 1。与WS N认证场景不同,在智能家居I o T远程绑定中,设备与用户之间不进行直接认证,而是通过云端验证。随后云端实施访问控制并最终在它们之间中继消息。此外,在本文的攻击者模型中,攻击者

22、被视为已经获得设备身份的内部人员,这与WS N研究中假设攻击者是局外人的模型不同。由于I o T是一个新课题,针对智能家居的远程绑定工作研究还非常少,虽然目前有一些厂商提供了远程绑定方案,但并没有经过正式验证,验证其安全属性是网络安全的重要工作。本文发现了针对远程绑定的攻击2 2,并在其基础上扩展了威胁案例分析,设计出远程绑定增强方案I o T B i n d e r且进行了安全验证。之前的研究也一直关注I o T应用程序和I o T云中的粗粒度授权2 3-2 8。例如,S m a r t A u t h2 7是一个基于N L P的框架,用于弥合代码中的真实行为与I o T应用程序描述中的高级

23、功能之间的差距,提供细粒度的访问控制。C o n t e x I o T2 6利用上下文信息对I o T平台中的敏感操作进行更细粒度的访问控制。此外,E A R L E N C E等2 3对一个新兴的智能家居编程平台进行了实证安全分析,发现云端权限分离模型可能导致显著的过度权限。F l o w F e n c e2 4通过嵌入用户预期的数据流模式,来解决现有的基于权限的访问控制在控制敏感数据流动方式方面无效的问题。贾岩等2 8发现部分I o T云端与设备端的通信采用MQ T T协议,而该协议在实现普遍出现弱认证和不当授02第3期冯超,等:智能家居设备远程绑定过程的安全评估与增强权等问题

24、。WANG等2 9开发了自动化工具MP I n s p e c t o r来挖掘智能家居常用的消息协议实现中的逻辑漏洞。与这些工作不同的是,本文系统地分析了智能家居中远程绑定整个生命周期的安全问题,包括设备认证和用户授权。研究人员对I o T设备的安全性也越来越感兴趣3 0-3 6。在高层次上,相关工作可以分为2个方向:对I o T设备进行安全分析和提出防御技术来解决粗粒度的特权分离。一方面,鉴于I o T设备的安全分析面临巨大挑战,研究人员提出了各种技术来发现实施缺陷和探索攻击向量。例如,Z A D D A CH等3 1对3 2 0 0 0个固件映像中的实现缺陷进行了大规模分析

25、,发现了3 8个以前未知的漏洞,表明当今I o T设备的固件实现不佳。为了更好地辅助动态安全分析,WR I GHT等3 6系统性地总结了近年来固件模拟仿真的相关工作。为了探索攻击向量,M L L E R等3 5通过总结现有攻击并设计检测已知攻击的工具,对网络打印机进行了系统研究。HO等3 4研究了5种流行的智能锁,发现了几种新的泄露信息甚至开门的攻击。另一方面,研究人员提出了各种技术3 7-3 9来分离I o T系统的权限。例如,C L EM-E N T S等3 9实现了一个运行时特权覆盖,为裸机系统提供保护(堆栈保护与代码和数据区域的多样化)。与这些工作

26、不同,本文主要研究利用云端授权和设备身份验证来控制设备或对用户造成拒绝服务。2 基于状态机的远程绑定功能建模在分析安全威胁前,需要深入分析远程绑定功能的创建过程。远程绑定的最终目的是实现特定用户与特定设备的远程通信。云端需要对用户和设备进行身份验证,并维护认证用户与认证设备间的绑定关系,需要确认设备的2种状态:是否在线(或登录)以及是否绑定。本文从云端视角提出了基于状态机的远程绑定功能建模方法。由于绑定关系在云端存储,为了从云端角度表示设备的状态,引入表示设备状态的影子设备,这样可以将远程绑定的阶段转换表示为影子设备的状态转换:若云端已验证设备并收到该设备发来的消息,则称该影子设备在线;若设备

27、已与用户绑定,则称设备影子已被绑定。虽然一个设备可能绑定多个用户(即设备共享),一个用户也可以管理多个设备,但本文只关注如何建立和解除1个用户和1个设备的绑定,很容易适用于多对一(或一对多)的绑定。状态机模型由4种状态组成,接收3种类型的原始消息。影子设备有以下4种状态。1)初始状态:设备处于离线状态,且未与任何用户绑定。2)在线状态:设备在线已通过云端认证,但未与任何用户绑定。影子设备在设备绑定前或设备解除绑定后进入并保持此状态。3)控制状态:该设备在线并通过云端认证,且与用户绑定,这是唯一允许用户控制设备的状态。4)绑定状态:设备处于离线状态并已与用户绑定。当云端已创建绑定关系但设备未上线

28、时,设备影子进入此状态。4种状态的转换过程如图2所示。为实现用户与设备之间的远程通信,影子设备需要从初始状态变为控制状态。这意味着可以在设备认证之前(初始状态绑定状态控制状态)或设备认证之后(初始状态在线状态控制状态)创建绑定关系。为了实现上述状态转换过程,云端从用户或设备接收3种类型的消息:状态消息、绑定消息和解除绑定消息。和表示设备认证;和表示绑定创建;和表示绑定撤销。图2 影子设备的状态机F i g.2 S t a t e s o f t h e s h a d o w d e v i c e1)S t a t u s:状态信息,由设备发送至云端。状态消息可以是注册消息或心跳消息,用于变

29、更设备影子的在线/离线状态。云端接收到该消息,12 信息对抗技术2 0 2 3年表明真实设备当前在线,否则如果在一定时间内没有收到消息,则认为设备离线。尽管注册消息的字段可能与心跳消息的字段不同,但在本文的模型中它们实现相同的状态转换。2)B i n d:绑定消息,由用户或设备发送至云端,用于指定具体用户与具体设备的绑定关系。云端收到这样的消息时,就会创建一个绑定关系。3)U n b i n d:解除绑定消息,可由用户或者设备发送至云端,用于撤销云中保存的已有用户和设备的关系绑定。除了以上3类消息,还有用户发送的控制消息等其他消息。但是由于它们不会改变绑定状态,因此本文未在状态转换中

30、将其考虑。消息类型和相关参数符号如表1所列。表1 消息类型和相关参数符号T a b.1 M e s s a g e t y p e s a n d r e l a t e d p a r a m e t e r s y m b o l s符号含义S t a t u s由设备发送的报告设备状态的消息B i n d用于在云端创建绑定关系的消息U n b i n d用于在云端解绑定的消息D e v I D用于数据认证的一段确定性数据D e v T o k e n用于数据认证的一段随机数据B i n d T o k e n创建绑定关系时用于授权的一段随机数U s e r T o k e n用于用户认证

31、的一段随机数U s e r I D用户账号的标识符(例如电子邮箱地址)U s e r PW用户账号口令3 典型远程绑定方案分析与评估远程绑定实现方案的不同,对安全性有很大影响。本文选取并分析了1 0个电商排名靠前的主流厂商I o T设备,同时参考了AWS、I BM、谷歌、三星等I o T解决方案提供商的相关方案,说明了典型远程绑定过程的实现方案。在此基础上,分析了针对这些远程绑定过程的攻击面,发现了多个安全缺陷,设计了攻击方法,并深入分析了安全缺陷的原因。3.1 远程绑定方案分析3.1.1 设备认证根据使用标识符的不同,设备认证分为2种模式:设备令牌(D e v T o k e n)认证模式和

32、设备I D(D e v I D)认证模式,相关符号如表1所示。1)类型:S t a t u s(D e v T o k e n)。一般直接放在加密的状态消息中。用户从云端请求设备令牌,然后在本地配置期间将其交付给设备,之后设备将令牌发送到云端进行身份验证。在本文评估对象设备中,至少有3个使用设备令牌机制,如图3所示。图3 绑定创建F i g.3 B i n d c r e a t i o n2)类型:S t a t u s(D e v I D)。一些供应商常22第3期冯超,等:智能家居设备远程绑定过程的安全评估与增强为他们的每个设备分配一个唯一的设备I D,用于设备身份验证。(在本文评估对

33、象中,至少有4个使用这种设计)。设备I D可以是设备MA C地址4 0或设备序列号4 1-4 2。这种方案即使设备和应用程序不在同一个网络上,用户也可以完成设备绑定4 3,用户体验比较友好。但是设备I D的泄露往往会造成安全风险,例如,攻击者可以通过伪造设备状态消息报告虚假设备数据或接收用户的敏感信息。除了上述方案外,大多数I o T基础设施提供商还采用了一些基于公钥的身份验证解决方案,例如:AWS I o T4 4、I BM W a t s o n I o T4 5和 G o o g l e C l o u d I o T4 6。公钥存储在云端,私钥嵌入设备中。虽然这种方案允许云端安全验证

34、设备发送的每条消息,但由于需要T PM等硬件支持来保护密钥,这会增加成本并影响执行效率,因此很少用于商业I o T产品中。此外,云服务提供商只为管理特定设备和特定应用程序的个别开发人员提供基础设施,不太适合管理一堆设备和一堆注册用户的智能家居厂商。3.1.2 绑定创建云端收到绑定消息后,会在设备与对应的用户账号之间建立绑定关系,主要有以下2种类型绑定机制。1)绑定类型:B i n d(D e v I D,U s e r T o k e n)。本文评估的大多数设备都使用设备I D和用户令牌来指示绑定消息中的关系。绑定消息可以通过移动应用程序或智能家居设备进行传递,如图3所示。应用程序启动的绑定。

35、移动应用程序将包含设备I D(从设备获取)和用户令牌(从云端获取)的绑定消息发送到云端。云端收到后会建立匹配的绑定关系(见图3(a)。本文中大部分实验对象都属于这一类。设备发起的绑定。首先,用户凭据(即用户名U s e r I D和密码U s e r PW)在本地配置期间被传送到设备;然后,设备向云端提交包含用户凭证和设备I D的绑定消息;云端收到消息后建立绑定关系(见图3(b)。在这种方案中,如果设备被攻击,可能会使用户帐户处于危险之中。分析过程中可以发现,在一些基于I D的绑定方案中,绑定消息被提交到云端后,用户和设备会执行一个额外的绑定后授权步骤,以防止设备被劫持攻击。当绑定消息被提交到

36、云端时,云端将向用户和设备返回一个随机令牌。该令牌将被包含在设备和用户应用程序后续交互的每条消息中。这样即使攻击者能伪造表明攻击者和设备之间绑定的绑定消息,也无法劫持设备。需要注意的是,虽然随机令牌可以防止控制状态下用户消息和设备消息的伪造,但不能防止绑定消息的伪造。2)绑定类型:B i n d(B i n d T o k e n)。在假定的攻击者模型下,安全绑定机制依赖于基于能力的授权。云端将把授权令牌B i n d T o k e n发送给用户应用程序,然后通过本地传输到设备2。随后设备将此令牌提交回云端,确认与该用户的绑定(见图3(c)。这种方案可以保证用户对设备的所有权:要远程绑定设备

37、,用户必须在本地绑定设备。3.1.3 绑定撤销当设备重置或用户从帐户中删除设备时,需要将他们的绑定关系撤销,撤销后用户就不能远程访问该设备了。目前在云端解除绑定的解绑消息有以下3种类型(假设设备i已与云端用户j绑定)。1)类型:U n b i n d(D e v I Di,U s e r T o k e nj)。要撤销绑定,用户或设备需将带有用户令牌和设备I D的解除绑定消息发送到云端。收到该消息后,云端首先验证用户令牌并检查消息发送者是否已经与设备绑定,然后根据提交的设备I D撤销相应的绑定。2)类型:U n b i n d(D e v I Di)。这种方式是从设备发送解除绑定

38、消息。当一个设备只属于一个用户时,只包含设备标识的解绑消息也可以实现解绑功能。这种方式下,解除绑定消息可以在设备重置期间发送,无须额外的操作,但由于D e v I D会被泄露,解除绑定消息可能被伪造。3)类型:B i n d(D e v I Di,U s e r T o k e nn)。在实验中发现,分析对象中有1台设备不支持解绑操作,用户必须在云端使用新的绑定来替换之前的绑定。这种方案下,无论云端何时收到绑定消息,都会用新用户n替换绑定用户j。该方案减少了开发人员的工作量,但会引入新的安全风险:即攻击者可以伪造绑定消息来替换用户的

39、绑定,导致设备解绑或设备劫持。32 信息对抗技术2 0 2 3年3.2 现有远程绑定方案的安全性评估3.2.1 攻击面分析为了分析前文描述的远程绑定过程中存在的安全风险,本文考虑所有可能被伪造并发送给云端的消息类型,全面分析可能存在的攻击面。当状态消息可被伪造时,攻击者可以冒充用户的设备,在控制状态和绑定状态下注入虚假设备数据并窃取用户数据。本文称其为数据注入和窃取攻击。当绑定消息可被伪造时,攻击者可以在用户绑定之前创建与用户设备的绑定,导致绑定拒绝服务攻击。如果设备已经与某用户绑定,攻击者可通过该方法替换绑定关系,此时攻击者可能会断开用户与其设备的连接

40、,甚至控制用户的设备。当解绑消息可被伪造时,攻击者可以撤销设备与用户的绑定关系,进一步劫持用户设备。攻击分为4种类型:数据注入和窃取、绑定拒绝服务、设备解绑定以及设备劫持。针对远程绑定的攻击,分类方法如表2所列。表2 针对远程绑定的攻击分类T a b.2 C l a s s i f i c a t i o n o f a t t a c k s a g a i n s t r e m o t e b i n d i n g攻击被伪造的消息类型被攻击状态结束状态后果数据注入和窃取(A1)S t a t u s(D e v I D)控制状态和绑定状态控制状态攻击者注入虚假设备数据或者窃取用户隐私数

41、据绑定拒绝服务(A2)B i n d(D e v I D,U s e r T o k e n)初始状态绑定状态攻击者可以造成用户绑定操作时的拒绝服务设备解绑定(A3)A3-1U n b i n d(D e v I D)A3-2U n b i n d(D e v I D,U s e r T o k e n)A3-3B i n d(D e v I D,U s e r T o k e n)A3-4S t a t u s(D e v I D)控制状态在线状态攻击者能够使设备与用户断开控制连接设备劫持(A4)A4-1A4-2A4-3B i n d(D e v I D,U s e r T o k e n)

42、U n b i n d(D e v I D)或U n b i n d(D e v I D,U s e r T o k e n)B i n d(D e v I D,U s e r T o k e n)控制状态控制状态在线状态控制状态控制状态控制状态攻击者可以任意控制设备3.2.1.1 数据注入和窃取(A1)当影子设备处于控制状态或绑定状态时,可能发生数据注入与窃取攻击。攻击者可以用设备I D伪造状态消息,篡改“设备”发送的数据或者获取用户的敏感信息。例如,针对智能火警设备,攻击者可以注入虚假数据来触发警报并骚扰用户。有些情况下,虚假的数据会产生级联效应(例如I F T T T4 7)。例如,当空

43、调系统与温度传感器相关联时,传感器的虚假数据可能会打开或关闭空调系统。此外,攻击者还可以伪造设备消息,从云端获取用户隐私数据,例如,当用户设置智能锁的时间表时,攻击者可以获取门的开关时间。3.2.1.2 绑定拒绝服务(A2)当攻击者在用户与设备绑定之前占用绑定时,可能会发生绑定拒绝服务,导致用户无法使用自己的设备创建绑定。由于某些供应商使用顺序设备I D,攻击者可以枚举或暴力破解设备I D,甚至可能对供应商的整个产品系列造成拒绝服务攻击4 1-4 2。3.2.1.3 设备解绑定(A3)攻击者还可以通过伪造解除绑定消息、绑定消息或状态消息来断开用户与用户设备间的连接。对于解绑消息伪造,可以利用带

44、有用户设备I D的消息U n b i n d(D e v I D)来撤销用户在云端的绑定(A3-1);对于U n b i n d(D e v I D,U s e r T o k e n)型42第3期冯超,等:智能家居设备远程绑定过程的安全评估与增强的解绑消息,如果云端不检查提交的用户令牌是否为绑定用户,攻击者便会攻击成功(A3-2)。另一方面,攻击者也可以利用绑定消息来引发设备解除绑定(A3-3)。在这种情况下,如果云端不检查设备是否已与用户绑定,则攻击者会发送一条绑定消息来替换用户的绑定,导致设备与用户断开连接。除此之外,攻击者可以向云端发送伪造的状态消息,导致设备解绑(A3-4),使云

45、端将攻击者视为新设备并与真实设备断开连接。此类攻击会导致用户对其设备的操作发生拒绝服务,可能会造成严重后果。例如,如果智能锁或火警装置停止向用户报告状态,则用户的财产可能会处于危险之中。3.2.1.4 设备劫持(A4)在这种攻击下,攻击者可以对设备进行安全控制,主要有2种方式。首先,攻击者可以将带有攻击者令牌和用户设备I D的绑定消息发送到云端。当影子设备处于控制状态时,如果云端不检查消息发送者和绑定用户而直接修改现有绑定,则会导致攻击成功(A4-1);当影子设备处于在线状态时,攻击者可以利用用户设备设置期间的时间窗口(A4-2),先于用户绑定设备。其次,设备劫持也可通过结合2个漏洞来实现(A

46、4-3)。攻击者首先发送解除绑定消息(A3-1),断开用户和设备的连接,使设备变为在线状态;然后发送绑定消息(A4-2)来绑定并控制设备。3.2.2 对真实设备远程绑定过程的安全评估为了验证上述攻击面是否存在,本文对前述分析的1 0款设备的远程绑定过程进行了安全评估。评估过程中,用户和攻击者具有不同的网络访问权限(攻击者的访问点设置在具有8 G R AM 和 I n t e l C o r e i 7 2.8 1 GH z 的 U b u n t u 主机上)、不同的A n d r o i d智能手机(S a m s u n g G a l a x y S 5、A n

47、d r o i d 5.0)和不同的帐户。在2部智能手机上安装了设备的配套应用程序,并分别使用用户帐户和攻击者帐户登录应用程序,然后设置设备并使用相应的应用程序配置它们。由于智能家居设备通常连接在受防火墙或 WP A 24 8 等加密保护的本地网络中,本地攻击的门槛非常高。与之前的研究1 2,4 3,4 9不同,本文假设攻击者无法访问用户的本地网络,并且设备固件和智能手机应用程序未被攻击者提前破坏。安全评估的第一步是获取设备的I D。在被分析的1 0台设备中,有6台直接在设备上附加了设备I D,其中5台使用MA C地址(前3个字节是制造商的I D号)作为其设备I D。其他4台设备,其I D可以

48、从流量中观察到,或者通过对消息的差异分析获得。安全评估的第二步是使用攻击者的设备I D替换目标消息中用户的设备I D。首先通过动态分析应用程序(9台设备通过应用程序发送绑定消息)来识别绑定和解绑消息。本文使用中间人代理5 0捕获分析应用程序的HT T P/HT T P S消息,使用P o s t m a n5 1工具生成伪造的请求。对于未知协议,使用动态检测工具F r i d a5 2来拦截和修改应用程序中生成的源请求。为了伪造设备消息,从官方网站下载固件,通过固件映像模拟和手工逆向5 3-5 4成功实现了伪造3台设备的消息。安全评估结果如表3所列。从表中可以看出,至少

49、有4台设备使用设备I D进行身份验证,9个设备通过应用程序发送绑定消息,1台通过设备发送绑定消息。9 0%的设备支持由应用程序发送的消息类型U n b i n d(D e v I D,U s e r T o k e n)撤销绑定。对于不支持绑定撤销的3号设备,使用新用户的绑定操作来替换旧用户的绑定。本文提出的攻击方法可以在9台设备上成功实施,具体结果如下。有1台设备存在数据注入和窃取攻击(A1)问题。例如:针对1 0号设备,首先通过固件逆向提取了设备消息;然后通过重构消息并与云端建立O p e n S S L套接字连接来伪造设备消息。为了模拟数据注入攻击,本文伪造了向用户报告虚假功耗的消息。对

50、于数据窃取攻击,实验中在智能插头上设置了一个日程,攻击者可以成功地从云端获取该日程。有6台设备存在绑定拒绝服务攻击(A2)问题。例如:对于7号设备,当在用户应用程序上启动绑定时,它要求用户在3 0 s内按下设备上的物理按钮,以发送设备注册消息。云端会比较设备请求和用户请求的源I P地址是否相同5 5-5 6,如果不同则绑定失败。3号设备由于不存在明确的解绑定机制,任何新的绑定创建都会替换旧的绑定。有4台设备存在解绑攻击(A3)问题。例52 信息对抗技术2 0 2 3年如:由于3号设备不支持绑定撤销,用户和设备之间的绑定被替换为攻击者的新绑

展开阅读全文