小心IoT设备后门安全问题
发布时间:2021-06-08 16:58:34 所属栏目:安全 来源:互联网
导读:最近,美国安防摄像头公司Verkada确认遭大规模黑客攻击。黑客访问并公布了来自特斯拉和Cloudflare等机构的实时视频源,以及来自各种其他Verkada客户的视频和图像,受影响的场所甚多,包括办公室、仓库、工厂监狱、精神病院、银行和学校等。 值得注意的是,在
|
最近,美国安防摄像头公司Verkada确认遭大规模黑客攻击。黑客访问并公布了来自特斯拉和Cloudflare等机构的实时视频源,以及来自各种其他Verkada客户的视频和图像,受影响的场所甚多,包括办公室、仓库、工厂监狱、精神病院、银行和学校等。
值得注意的是,在此次事件中,黑客通过上图展示了可以通过厂商预留的维护后门,以超级管理员身份登录用户摄像头,执行任意Shell指令。这意味着,在过去的数年时间里,厂商随时都可以通过该后门,在用户不知情的状态下执行任意动作。
在IoT设备几乎无处不在的今天,每一个安全问题导致的威胁可能是方方面面的。因为设备可能是在普通用户的家庭中,可能是在本次事件的工厂、学校、监狱中,它们虽然在不起眼的角落里,却昼夜不停地流动着每个人日常生活里的各类数据,比如持续监控的摄像头、持续传输各类上网数据的路由器等。
一旦这些设备被黑客通过后门攻陷,产生的安全威胁是巨大的。为此,360工业互联网安全研究院过去一直通过大规模IoT固件的角度,关注这个领域的整体安全情况。
实际上,根据360FirmwareTotal固件安全分析平台过去采集的数十万IoT设备固件分析显示,不只是摄像头,在路由器等设备里的后门也屡见不鲜。也许是开发者为了调试设置的接口,在产品发布时忘记关闭;又或者是类似本次的案例,厂商为了方便远程维护,在设备中预置了后门。
设备后门类型也很多,有直接在硬件层面植入的,也有通过软件植入的;有把telnet服务端口保持开放的,也有平时保持关闭,但留下了隐藏的开关,可以被特定指令触发开启的。上述的后门里,最隐蔽的,就是需要特定指令开启的后门。
在学习大量过往案例经验的基础上,360工业互联网安全研究院针对隐蔽后门总结了一些识别模式,并在大量的固件数据集中,验证这些识别模式的有效性。最终,通过不断的验证与改进,训练出来了一个行之有效的隐蔽后门识别模式,并发现了多个设备后门。
比如在某知名厂商的多个型号摄像头产品中,通过向特定的端口,发送特定的数据包,就会触发摄像头开启telnet。
在该摄像头内的程序中也可以清晰地看到相关逻辑,在该特殊端口接收到特定字符串后,就会判断是接收到了“暗号”,并执行telnetd。
此外,路由器等设备中也发现了不少遗留的后门。比如国内某厂商的路由器,在该设备的后台控制页面中,有一个隐藏页面。所谓隐藏,是指没有任何Url链接到它。这样一来,普通用户即使登录到路由器的控制后台界面,也无法发现。在这个隐藏页面,就有一个可以开启telnet服务的开关。
 (编辑:珠海站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
