2022年09月06日
✦前 言✦
• 近年来,随着科技的发展、移动技术的提升,万物互联渐渐走入了千家万户,物联网(IoT)设备市场也开始蓬勃发展。根据Statistics、IoT analystic的调研报告,2025年IoT设备数量将超过750亿,IoT 市场空间将超过810亿美元。IoT市场如此迅猛的增速,意味着物联网设备将迅速进入人们的日常生活并广泛应用于各种场景。
• 自物联网被提出至今,大量的物联网设备已经被应用于智慧出行、智能家居、智慧城市等领域,设备数量庞大,类型和功能多样。随着物联网设备的快速应用,设备也被大量地暴露在互联网上,这些设备包括网络摄像头、路由器、打印机等。这些暴露在互联网上的设备,一旦被发现有漏洞,并被不法分子利用,将对国家、社会、企业、个人造成严重的损失。
• 高维密码(高维密码是纽创信安子公司)物联网安全实验室针对物联网设备的现状,将从物联网设备硬件安全分析、软件安全分析、实例操作三个角度,简述物联网设备的一些安全分析方法,以期给物联网设备厂商提供一种安全分析的思路,希望各物联网厂商设计出更安全、可靠的物联网设备,提升整个物联网行业设备的安全。
硬件篇
✦1.物联网设备硬件破解目的✦
• 硬件篡改以达到入侵物联网设备内部的目的。
• 引发设备故障,导致设备逻辑错误,中断正常行为或使得设备宕机。
• 攻击者制造后门或创建后门达到渗透的目的。
• 控制设备非法获取相关敏感信息,进行个人牟利。
• 控制设备作为跳板攻击其他设备或基础设施。
✦2.物联网设备硬件安全分析 ✦
2.1 物理安全分析
• 针对物联网设备的第一步安全分析,一般是通过拆卸设备外壳进入设备内部,观察设备内部电路板,发现安全风险。部分设备具有外壳拆卸监测机制,在拆卸设备时,设备有可能会发出警报(可能同时会清除设备内敏感信息),需要特别注意。物联网设备外壳被拆除后,就可以对设备内部电路板进行观察和分析,完成了安全分析的初始准备工作。
2.2 物理调试接口分析
• 通常在物联网设备中,设备的硬件电路板都会预留调试接口(一般是UART或JTAG调试接口),便于设备在开发时进行调试和功能验证。我们可以对电路板的调试接口进行分析,以期找到调试接口,并利用调试接口的功能获取设备的调试权限,获取设备的更多信息。一般设备PCB板上的调试接口会具有明显的RxD、TxD丝印,如下图,这样的话可以直接测试和利用该调试接口。
• 部分设备为了安全考虑,会去除掉调试接口的丝印,但是一般会留有调试接口的焊盘(一般是2-4个,如下图是某摄像头UART的数据接收、地、数据发送接口),这些都是调试接口的寻找方向。
2.3 通信链路安全分析
• 物联网设备的PCB板上一般具有固件或数据的存储介质FLASH、ROM等,主控CPU通过I2C或SPI总线读取存储介质中的内容并进行执行,我们可以通过总线探测及分析工具,分析出硬件通信链路(I2C/SPI)中的传输的数据,进而获得相关系统固件或设备的敏感信息等。
2.4 非授权读取固件分析
• 物联网设备的固件一般存储在PCB板上的FLASH、ROM等存储介质中,由固件头、固件主体以及其它附属数据等组成。我们可以通过读取工具获取存储介质中存储的固件,进行逆向分析,以发现固件中存在的安全漏洞并进行利用。一般可以通过以下三种方式获取固件。
• 在官方网站或网络资源获取。一般的物联网设备官网上都会提供可下载的系统固件。
• 通过调试接口获取。对于开放了JTAG、SWD、UART等接口的,我们可以直接使用调试器提取固件。
• 通过编程器获取。首先,准备一款支持PCB板载FLASH的编程器;然后,使用热风枪吹下PCB板上的FLASH芯片,焊接至转接板上,连接编程器(或使用测试夹夹住FLASH芯片的管脚连接至编程器);最后,使用编程器读取该FLASH中固件。
• 注:某些设备有可能会开启芯片读保护,外界尝试非授权读取时,有可能会出错或者芯片不可使用。
2.5 故障注入安全分析
• 故障注入安全分析是对物联网设备的物理攻击,通过精准地对设备注入故障,以改变系统的预期行为,可以绕过系统安全功能,改变系统行为以实现恶意意图,或者通过分析错误输出来提取敏感信息、密钥、固件。
• 故障注入方法一般有电压毛刺、时钟毛刺、激光注入、电磁(EM)注入等。譬如2018年非常著名的特斯拉线圈开锁事件,就是一个经典的强电磁攻击案例,下图是“小黑盒”样品图。
• 实际上,“小黑盒”适用范围有限,一般专业的安全分析实验室,多采用专业的故障注入设备对物联网设备进行精准的自动化安全分析,可以加快安全分析速度,提升故障注入准确率。如下图所示,是纽创信安故障注入设备中的电磁故障注入设备,纽创信安还具有电压故障注入、激光注入等多种设备,欢迎行业人士交流合作。
2.6 侧信道安全分析
• 2017年5月13日,一段昆明小学生“听声音”徒手解开ofo共享单车密码锁的视频流传于网络,视频中该小学生通过不断扭动密码轮盘来尝试解锁,仅用17秒便成功解开了车锁。该情景不禁让人联想起某些电影中针对银行保险箱进行“听音解锁”的片段。实际上,上述密码破解方法可以看作一类特殊的“侧信道攻击”。
• 侧信道攻击核心思想是通过分析设备运行时产生的各种泄漏信息获取密钥或敏感信息。典型的侧信息包括设备运行过程中的能量消耗、电磁辐射、运行时间等信息。侧信道分析一般需要使用较专业的设备,用于采集设备运行时泄露的微小功耗信息、电磁辐射等信息,结合设备运行的算法或行为进行相关性分析,进而分析出设备的敏感信息。如下图所示,是纽创信安的电磁侧信道设备,纽创信安还具有功耗侧信道、光子侧信道等多种设备,欢迎行业人士交流合作。
2.7 卡片安全分析
• 因为部分物联网设备使用了智能卡进行身份认证或存储敏感信息,所以,这里对常用的智能卡进行了安全性分析,智能卡可分为以下三类:ID卡、M1卡、CPU卡。
• ID卡:只存储了ID号,无算法可言,极其容易复制,安全性低。一般使用具有NFC的手机结合APP或简易的卡片复制工具即可破解并进行复制。
• M1卡:存储了ID号,可读写数据,虽然使用了加密算法,但是算法安全性低,通过物理嗅探+物理读卡+软件分析容易被复制利用。
• CPU卡:有操作系统和唯一标识符,可存储数据,使用安全的密码算法,安全性较高,难以复制。
✦3.物联网安全分析常用设备 ✦
• 工欲善其事,必先利其器。作为IoT安全从业者,在自我要求上需要文能逆向,武能拆焊。高维密码物联网安全实验室给各位读者梳理一些我们在日常工作中,常用的硬件安全分析设备,如下表:
寄语
• 以智能家居、智慧城市为代表的各类物联网、移动互联网应用的快速发展,越来越多的用户享受到了万物互联所带来的便利。与此同时,物联网安全事件频发,也引起了大家对物联网设备安全的重视,对物联网设备安全的需求也日益增加。
• 本文从物联网设备的硬件安全分析角度简述了常见的安全分析手段、方法。攻击与防御从来都是相克相生、相辅相成,相信对物联网设备进行更广泛、更深入的安全分析与探索,一定能够进一步提升物联网设备的安全性。
• 接下来,我们将持续更新软件篇、实操篇,敬请期待。
Copyright 2018. Open Security Research, Inc. All rights reserved. 粤ICP备18045701号