2024物聯(lián)網(wǎng)漏洞攻擊分析

物聯(lián)網(wǎng)主要漏洞攻擊分析根據(jù)《牛津字典》，根據(jù)《牛津字典》，“物聯(lián)網(wǎng)（InternetofThings）”定義為：“在Internet的發(fā)展上，將日常物品用網(wǎng)絡相聯(lián)并允許彼此之間收發(fā)數(shù)據(jù)的一種網(wǎng)絡概念?！監(jiān)WASPInternetofThings（IoT）物聯(lián)網(wǎng)項目，旨在幫助制造商、開發(fā)商和消費者更好地了解與物聯(lián)網(wǎng)相關的安全問題，并使任何環(huán)境中的用戶在構建、部署或評估IoT技術時能做出更好的安全決策。本項目包含了攻擊面分析和高危漏洞方面的關鍵信息。注：1、有關OWASPIoT項目的更多信息，可直接在訪問本OWASP項目的網(wǎng)站：/index.php/OWASP_Internet_of_Things_Project#tab=Main2、本文由OWASP中文項目工作組提供。參與本文的OWASP中文項目工作組成員包括：王厚奎、李康偉、王頡。1.IoT攻擊面分析1.IoT攻擊面分析攻擊面漏洞生態(tài)系統(tǒng)互操作性標準數(shù)據(jù)治理系統(tǒng)故障個人利益相關者風險組件之間的隱式信任注冊安全退役系統(tǒng)丟失的訪問過程設備內存敏感數(shù)據(jù)o明文用戶名PAGEPAGE2/7明文密碼第三方憑證加密密鑰設備物理接口固件提取CLICLI特權升級重置為不安全狀態(tài)刪除存儲介質防篡改調試端口UART(串口)JTAG/SWDID設備Web界面web《OWASPTop10》《OWASPASVS》《OWASP憑證管理漏洞：用戶名枚舉弱密碼帳戶鎖定已知的默認憑證不安全的密碼恢復機制設備固件敏感數(shù)據(jù)暴露(見2013年版或2017年版《OWASPTop10》中“A6敏感數(shù)據(jù)暴露”部分內容)：后門帳戶加密密鑰敏感信息URLWeb、SSH、TFTPo驗證舊的SW版本和可能的攻擊(Heartbleed、Shellshock、舊的PHP版本等)API固件降級設備網(wǎng)絡服務信息泄露CLICLI注入拒絕服務非加密服務弱加密測試、開發(fā)服務緩沖區(qū)溢出UPnPUDPDoSOTA通過不安全通道加載的固件（TLS）攻擊重演缺乏有效載荷驗證缺乏信息完整性檢查證書管理漏洞用戶名枚舉弱密碼賬戶鎖定已知的默認憑據(jù)不安全的密碼恢復機制管理界面Web《OWASPTop10》《OWASPASVS》《OWASP證書管理漏洞：用戶名枚舉弱密碼賬戶鎖定已知的默認憑據(jù)不安全的密碼恢復機制安全/加密選項記錄選項雙因素身份驗證檢查不安全的直接對象引用無法擦拭設備本地數(shù)據(jù)存儲未加密數(shù)據(jù)使用發(fā)現(xiàn)的密鑰來加密數(shù)據(jù)缺少數(shù)據(jù)完整性檢查enc/dec云Web界面Web《OWASPTop10》《OWASPASVS》《OWASP證書管理漏洞：用戶名枚舉弱密碼賬戶鎖定已知的默認憑據(jù)不安全的密碼恢復機制傳輸加密雙因素身份驗證第三方后端APIsPIIPII設備信息泄露位置泄漏更新機制未加密更新發(fā)送未簽名更新更新位置為可寫更新驗證更新認證惡意更新缺乏更新機制不支持手動更新機制移動應用程序設備或云端的隱性信任用戶名枚舉賬號鎖定已知默認憑據(jù)弱密碼不安全的數(shù)據(jù)存儲傳輸加密不安全的密碼恢復機制雙因素認證供應商后端API云或移動應用的內置信任弱認證弱訪問控制注入攻擊隱藏服務生態(tài)系統(tǒng)通信健康檢查心跳生態(tài)系統(tǒng)命令取消配置推送更新網(wǎng)絡流量LAN局域網(wǎng)到互聯(lián)網(wǎng)短范圍非標準無線（WiFi、ZXBee、Zigbee、藍牙、LoRA）Fuzzing認證與授權認證、授權相關值（如：會話密鑰、令牌、等）泄露重新使用會話密鑰、令牌等設備到設備的認證設備到移動應用程序的認證設備到云系統(tǒng)的認證移動應用程序到云系統(tǒng)的認證Web缺乏動態(tài)認證隱私用戶數(shù)據(jù)泄露用戶/設備位置暴露差異化隱私硬件（傳感器）感知環(huán)境操作篡改（物理上）損害（物理上）2、IoT漏洞項目2、IoT漏洞項目漏洞攻擊面概要用戶名枚舉管理界面Web云界面移動應用程序能夠通過認證交互收集一組有效的用戶名。弱密碼管理界面Web云界面移動應用程序如，允許將帳戶密碼設置為“1234”或“123456”。使用預先編程的默認密碼。賬號鎖定管理界面Web云界面移動應用程序能夠在3至5次登錄嘗試失敗后，繼續(xù)發(fā)送身份驗證嘗試。非加密服務設備網(wǎng)絡服務網(wǎng)絡服務未作適當加密來防止攻擊者竊聽或篡改。雙因素認證管理界面Web移動應用程序缺少雙因素認證機制，如安全令牌或指紋掃描器。輕度加密設備網(wǎng)絡服務雖然已執(zhí)行加密，但是該配置不正確或未被能準確更新。例如使用SSLv2。非加密更新更新機制更新是在沒有使用TLS或加密情況下通過網(wǎng)絡傳輸更新文件的。更新位置為可寫更新機制更新文件的存儲位置為可寫，并允許修改固件并分發(fā)給所有用戶。拒絕服務設備網(wǎng)絡服務服務能夠以拒絕該服務或整個設備的服務方式進行攻擊。刪除存儲介質設備物理接口能夠從設備中刪除物理存儲介質。無手動更新機制更新機制無法手動強制更新檢查設備。缺乏更新機制更新機制無法更新設備。固件版本顯示及最后更新日期設備固件當前固件版本不顯示，或者最后更新日期不顯示，也有可能兩者都不顯示。固件和存儲提取JTAG/SWDIn-SitudumpingOTA從制造商網(wǎng)頁進行下載eMMCSPIFlash/eMMC芯片并在適配器中進行讀取固件包含許多有用的信息，例如，運行服務的源代碼和二進制文件、預設密碼、ssh密鑰等。操縱設備的代碼執(zhí)行流程JTAG/SWD側面渠道攻擊，如：Glitching攻擊。借助于JTAG適配器和我們可以修改設備中固件的執(zhí)行程序，并繞過幾乎所有基于軟件的安全控制。側面通道攻擊還可以修改執(zhí)行流程，或者可以用來獲取設備泄漏的有趣信息。獲取控制臺訪問串行接口（SPI/UAR