IOT应用程序漏洞会使设备打开攻击
企业和消费者有权了解与互联网连接的设备的安全姿势,弥补事物互联网(IOT) - 以及制造商应负责负责。
这是贝拉鲁加网络的安全研究人员的看法,审查了互联网连接的安全摄像机,以说明IoT凭证妥协的不断增长的安全威胁。
该研究表明,可以利用IOT设备的Web和移动应用程序中的漏洞来窃取凭证并泄露相关的设备。
如果没有任何直接连接设备本身,该团队能够识别相机的Web应用程序和移动应用程序生态系统中的多个漏洞。
研究人员表示,这种威胁可能会影响其他类型的IOT设备,因为它利用了设备与云通信的方式。
出于这个原因,Barracuda认为IOT产品应该不断得分,并且他们的安全姿势与机动车安全评级相同的方式出版,以使企业和消费者在选择产品时做出明智的决策。
研究人员注意到,尽管有所改善是为了响应关于物联网设备的安全风险而令人担忧的疑虑,但仍然存在漏洞。
特别是,Barracuda Labs团队突出了IoT凭证妥协的威胁,通过显示攻击者可以在Web应用程序中使用漏洞以及某些物联网设备使用的移动应用程序来获取凭据,然后可以用于查看视频源,设置/接收/删除警报,从云存储中删除已保存的视频片段,并读取帐户信息。
攻击者还可以使用凭据将自己的固件更新推向设备,更改其功能并使用受损设备攻击同一网络上的其他设备。
由研究人员确定的主要漏洞包括:
移动应用程序忽略了服务器证书有效性。在Web应用程序中可以进行跨站点脚本(XSS)攻击。在云服务器中,文件目录遍历。用户控件设备更新链接。设备更新未签名。设备忽略服务器证书有效性。研究人员警告说,如果攻击者可以通过使用受损或敌对网络拦截到移动应用程序的流量,可以轻松获取用户密码。
当受害者使用手机连接到受损/敌对网络时,连接的相机应用程序将尝试通过HTTPS连接到供应商的服务器。敌对/受损网络将路由连接到攻击者的服务器,它将使用自己的SSL证书来代理供应商服务器的通信。攻击者的服务器现在拥有一个Unstally,MD5散列的用户密码。攻击者还可以篡改供应商服务器和应用程序之间的通信。
从Web应用程序获取凭据依赖于允许用户与其他用户共享连接相机的设备访问的功能。要共享设备,接收器需要与IOT供应商拥有有效的帐户,并且发件人需要知道接收者的用户名,这会发生电子邮件地址。然后,攻击者将在设备名称中嵌入XSS漏洞,然后与受害者共享该设备。
一旦受害者使用Web应用程序登录他的帐户,XSS漏洞就会使用攻击者执行并共享访问令牌(在Web App上存储为变量)。通过该访问令牌,攻击者可以访问受害者的帐户和所有注册设备。
通过这项研究,Barracuda Labs团队设法损害了互联网连接的相机,而不会与设备本身直接连接。
研究人员说,这使得攻击者更容易生活。不再需要扫描Shodansearch引擎,以便易受攻击的设备,因为攻击将针对供应商的基础架构执行。
研究人员强调,漏洞并不是产品所固有的,而是处理开发人员的过程,技能和意识。由于IOT设备的访问和访问控制转移到云服务,因此漏洞所呈现漏洞,可能会使Barracuda Labs团队未发现的攻击类型。
据研究人员来说,供应商创建物联网产品和服务需要保护用于运行这些设备的应用的所有方面,包括在办公室,家庭和学校分配的传感器,使其成为攻击者的潜在入学点。
研究人员表示,AWEB应用防火墙 - 最关键的保护之一IOT供应商需要放在地位 - 旨在保护服务器从第7层(应用层)的HTTP流量保护服务器。他们说,制造商还需要增加防止网络层攻击和本培训。
研究人员表示,云安全也很重要,因为它提供了IOT应用程序的可见性,保护和修复,以及他们运行的基础架构。研究人员表示,横向运动曝光的潜力是大而复杂的,因此采取适当的安全预防措施是关键。
在购买IOT设备时,研究人员表示企业和消费者需要考虑安全性,以及便利性和价格。他们建议买家:
一些生产IOT设备的公司了解软件安全性。大多数是现有公司,其专业知识在于制作正在连接的物理产品,或者启动尝试尽快将设备带到市场。研究人员表示,在这两种情况下,往往忽略了适当的软件和网络安全措施。
如果一个设备具有漏洞,研究人员称,它可能是来自同一公司的类似功能的其他设备也易受攻击。最终,具有安全设备历史的供应商可能会建立前进的安全设备。
研究人员表示,如果供应商对报告漏洞的人员响应于报告漏洞并迅速将其解决它,它为其制造的安全和未来产品的展望而言。
他们注意到,遗憾的是,关于物联网设备的安全姿势的信息量很低。他们说:“理想情况下,我们需要了解IOT产品的全部均得到安全评级,”他们说。
在本月早些时候将在本月早些时候发布的IoT Secury Bust,Digital Security Compero Gemalto出版了一项调查表明,只有48%的欧洲公司可以检测何时违反了任何互联网连接设备。在英国,该P跌至42%,在法国之后的欧洲第二最低价,只有36%的公司调查说,他们可以检测他们是否有任何物联网设备遭受违规行为。
评论Gemalto的数据保护的CTO调查结果,杰森霍特,在Gemalto的数据保护中表示,没有指导行业的一致规则,威胁和企业的脆弱性令人惊讶的是令人惊讶的是。
“这只会继续否则政府现在迈出帮助行业避免失去控制,”他说,虽然英国的新的实践守则迈向保护IOT的良好第一步,直到这些是必要的所有组织都被迫遵守它们。
2018年11月,物联网安全研究员肯蒙德还呼吁政府Actionatiema Isse 2018年Chussels中的安全大会。
像哈特一样,他说英国的实践准则是一个很好的开始,但Munrol认为还有很长的路要走,他希望看到一些基本的监管。