盤點:2018物聯網安全大事件
毫無疑問,IoT 會繼續增長。
萬物互聯已經取得了巨大進步,從零售到醫療、從可穿戴裝置到智慧汽車,IoT 正在影響所有行業。一項調查預估到 2018 年末,全球會有 200 億個聯網裝置。
然而,承載廣大使用者海量隱私資料與普遍脆弱的 IoT 讓攻擊者看到“寶藏”。僅 2017 年,IoT 攻擊暴增 600%。
火爆的 IoT 市場產品釋出與上世紀 90 年代的個人電腦熱潮相似,企業希望通過快速開發與出售產品佔領市場、獲得利潤,他們決定把安全問題擱置一旁,更有甚者以為他們能夠在賺到錢之後再去擔憂安全問題。
但病毒、蠕蟲、網路攻擊不會等待。
新的一年即將到來,我們對 2018 年物聯網安全事件進行了回顧。
史詩級 CPU 晶片漏洞
時間:1 月
Meltdown(幽靈)和 Spectre(熔斷)可能是今年大家最早學到的兩個單詞。
2018 年 1 月 2 日,媒體曝出全球最大 CPU 製造商、迎來知天命之年的英特爾遭遇“史詩級”漏洞的衝擊。有意思的是,這個問題其實覆蓋了主要 CPU 生廠商,並非英特爾一家,影響全球所有桌面系統、電腦、智慧手機及雲端計算伺服器。
陰魂不散的 IoT 殭屍網路
時間:1 月及後來
安全研究團隊發現一種新型 IoT 殭屍網路,代號為“捉迷藏”(HNS)。HNS 殭屍網路對具有開放 Telnet 埠的裝置發起暴力破解攻擊,具有高度自定義的特徵。上線不滿一個月,HNS 1 月底殭屍網路的肉雞數量從 12 臺猛增至 3.2 萬臺; 5 月末,感染超過 9 萬臺裝置。同時研究者發現 HNS 增添了新功能,在裝置重啟之後惡意軟體依舊存在。 HNS 成為首個能在裝置重啟後存活下來的同類惡意軟體,開啟了殭屍網路的“新時代”。
VPNFilter 不懼大廠,KO 50 萬路由器
時間:5 月及後來
思科 Talos 安全研究團隊發現攻擊者利用惡意程式 VPNFilter 感染了全球 54 個國家的超過 50 萬臺路由器與 NAS 裝置,品牌包括 Linksys、MikroTik、Netgear、TP-Link、華碩、華為、中興和 D-Link 等。利用惡意程式的中間人攻擊模組 ssler,攻擊者通過被感染路由器的流量注入惡意負載,甚至能悄悄修改網站傳送的內容。後來,團隊又發現了 7 個不同的漏洞利用模組。
智慧城市漏洞多達 17 個,水庫恐被一夜清空
時間:8 月
羅馬不是一日建成的,“毀”掉一座智慧城市卻不困難。IBM 研究團隊發現,Libelium、Echelon和Battelle 三種智慧城市主要系統中存在多達 17 個安全漏洞,包括預設密碼、可繞過身份驗證、資料隱碼等等,攻擊者利用這些漏洞能夠控制報警系統、篡改感測器資料,輕而易舉左右整個城市交通。
黑客如何奪取天上的控制權
時間:8 月
IOActive 公司安全研究人員警告稱,飛機、艦船和軍方使用的衛星系統中均含有可能讓黑客控制它們的安全漏洞。最嚴重的漏洞可能會讓攻擊者向衛星天線過度充電,從而損害裝置或損害運營商利益,其他漏洞可能會被用來洩露軍事力量在特定地區的確切位置。
黑客可以決定你的死亡時間
時間:8 月
國家藥監局釋出大批醫療器械企業主動召回公告,其中美敦力、GE、雅培等大牌均在列。召回裝置包括磁共振成像系統、麻醉劑、麻醉系統、人工心肺機等。公告顯示召回共涉及裝置產品超過 24 萬,主要原因在於軟體安全性不足。
據統計僅 2018 年第一季度,全球醫療裝置召回總量超過 2.08 億臺,超過 2017 年全年召回總數。早在 2016 年底,白帽黑客發現可以遠端控制美敦力心臟起搏器;2017 年,研究者發現網購的起搏器存在 8000 個程式漏洞,其中包括來自四大主流製造商的產品,極易遭受黑客攻擊。
“學院派”黑客利用門鎖漏洞,輕鬆盜走特斯拉
時間:9 月
比利時 KU Leuven 大學研究人員發現,只需要大約價值 600 美元的無線電和樹莓派等裝置就能開走一輛特斯拉。他們能通過裝置截獲讀取附近的特斯拉 Model S 使用者遙控鑰匙發出的訊號。用時不到 2 秒,遙控鑰匙的祕鑰就能發給其他研究者,幾秒內就能複製這個鑰匙,開車回家。
不過,研究者表示目前只能欺騙系統一次,如果盜走汽車而不破壞防盜系統,汽車則無法再啟動。 同樣的攻擊方法還能“竊取”邁凱倫和 Karma 汽車,以及凱旋摩托車,因為同特斯拉一樣,這些都是用了被發現存在安全缺陷的 Pektron 遙控鑰匙系統。
亞馬遜修復物聯網作業系統漏洞
時間:10 月
亞馬遜修復了物聯網作業系統 FreeRTOS 以及 AWS 連線模組的 13 個安全漏洞,這些漏洞可能導致入侵者破壞裝置,洩露記憶體中的內容和遠端執行程式碼,讓攻擊者獲得裝置完全的控制權。FreeRTOS 是專門為微控制器設計的開源作業系統,已經被應用在包括汽車、飛機及醫療裝置等 40 餘種硬體平臺。
為給偶像拉票,粉絲黑了全球印表機
時間:11 月
黑客利用了全球數十萬臺印表機上的開放式網路埠,從 80 萬臺可利用的網路印表機中選擇了 5 萬臺進行攻擊。用時不到 30 分鐘,黑客就成功控制了這些印表機,能訪問其內部網路並列印一項名為“PewDiePie"活動的宣傳資訊,為來自瑞典的、YouTube 訂閱使用者最多的博主 PewDiePie 拉粉。
隨著物聯網的發展越來越快,暴露出的安全問題也逐漸增多。
GeekPwn2018 黑客大賽現場,參賽極客選手發現了多款路由器、智慧門鎖、智慧攝像頭、智慧電視、智慧音箱、掃地機器人等多款身邊常見的裝置存在安全漏洞。此外,提供雲基礎架構的 VMware EXSi 以及網路基礎協議層存在已久的安全隱患也被發現。
任何東西一旦聯上網,就有暴露給攻擊者的危險。如果 IoT 裝置製造商想盡一切辦法只是為了讓產品連上網路,請回想一下 20 年前的電腦製造商:那些不重視安全性的,現在還在嗎?
宣告:本文來自GeekPwn,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。