近年来,智能家居技术和产业链快速发展,应用场景持续丰富,给家庭生活带来极大地便利性和舒适性。随之而来的有关智能家居设备的安全性也逐渐受到消费者的关注。一方面,智能家居设备从传统的接触式操控变为远程网络操控后,网络安全威胁提升。攻击者可以通过网络远程攻击,继而入侵和操控智能家居设备,不仅带给消费者使用困扰,甚至可能带来生命财产安全风险。另一方面,智能家居设备与云端、其它智能设备、消费者之间都在频繁交互,采集并储存了大量消费者信息,信息泄露风险提升。这些信息不乏一些涉及消费者的重要隐私,容易成为攻击者窃取的目标。
2021年11月至2022年2月,上海市消保委联合第三方专业机构开展了智能家居设备安全性能测试。我们在各主流电商平台上选取了6款搜索排名靠前的智能门铃和门禁产品,并对以下功能进行测试。
测试结果显示:
主要安全漏洞如下:
一、攻击者可以通过抓包软件绕过认证,获取服务端或客户端的大量信息。消费者个人信息遭到泄露。
如我们发现D品牌、F品牌等存在认证绕过漏洞,攻击者可以将提交到服务端的验证数据包进行抓取,然后对其暴力破解,就能绕开认证并查看到服务端存储的大量用户信息,也可以在客户端进行抓包并修改回应包,看到用户个人信息。
D品牌漏洞测试详情:打开抓包软件,即可看到用户手机号,姓名,年龄,公司住址等信息。
F品牌漏洞测试详情:登录小程序,抓取设备界面数据包,发现有一个未加密显示手机号的数据包。通过修改手机号,可越权查看他人所拥有的设备。
二、攻击者可以通过简单粗暴的“抓包”加暴力破解弱密码,利用漏洞组合获取用户的账号和密码,登录后获得他人摄像头、麦克风等权限,可以自由调取录像,甚至听取房间家庭成员间的交谈。消费者的隐私难以保障。
如我们测试B品牌时,攻击者先通过“抓包”,挖掘出用户手机号码。如果该用户密码设置过于简单,比如默认密码或是简单的数字密码,攻击者继而暴力破解,对密码逐个推算,反复试错,得到相应的密码,登录后窃取用户隐私。
B品牌漏洞测试详情:进入平台社区交流界面,可看到经过*号处理过的手机号,抓包查看返回包,即可得到该用户手机号码。
再暴力破解获得弱密码,成功登陆,并可以查看相关重要信息。
三、攻击者可以利用应用程序传参验证过滤不严,在后台不知情的条件下实现非法授权和操作,导致攻击者构造的数据库代码被后台执行。攻击者可以未经授权访问数据库,结合其他漏洞实现远程开电子门锁等功能,消费者居家安全面临风险。
如我们发现D品牌设备的管理后台存在3处该漏洞。同时,该设备的开门小程序也存在缺陷,简单重复此开门包,攻击者就能实现远程任意开门。
D品牌漏洞测试详情:
第一处:通过ascii来爆破数据库用户的第一个字符。
漏洞参数是login_account。
第二处:使用user()可直接获取数据库用户名。
第三处:尝试使用相关工具可直接注入出目标数据库的所有消息。
此外,这些设备还存在中间人攻击、存储型XSS、文件上传等漏洞,而且不少产品属于相同设备代工生产,同质化情况较为严重。
虽然本次模拟黑客攻击的测试针对的是智能门铃和智能门禁类产品,但智能化家电家居设备在底层技术、通用硬件、数据后台等方面有高度的类同性。专家组判断,市场上相当比例的智能家居产品信息安全水平普遍较低,对于消费者隐私存着较大风险。
下一步,上海市消保委将持续关注智能家居安全性能,并建议:一是消费者尽量选购大品牌智能家居产品,尽量选购具有输入错误报警和防破坏报警功能的产品,日常使用过程中提高数字密码安全系数,并树立网络安全防范意识,及时更新系统、升级固件;二是智能家居厂商要不断提升终端设备安全性能等级,同时加强云端数据安全管理,把重心从营销转移到技术研发上;三是相关部门要尽快开展智能家居产品安全性能调研,排摸相关风险,针对技术、系统漏洞带来的危害和风险出台相关的安全标准和规范。