无线运营商可能是下一个要艰难学习物联网设备带来的安全风险的角色。这一警告来自柏林工业大学高级安全研究员 Altaf Shaik最近在Black Hat 信息安全会议上的简报。
“在 5G 方面,威胁越来越大,而且影响也相当大,因为在这里黑客可以针对整个行业,而不仅仅是单个用户,”Shaik 在这个 40 分钟的演示开始时说道。
点击此出下载配PDF演示稿
(资料图片)
这里的核心问题是 5G 在连接人(正如Shaik 在去年的黑帽会议上的演讲中所探讨的那样,通过 5G 获得显着的隐私升级)和机器方面的效用。运营商现在正在通过向这些客户可以通过新 API 直接管理的企业提供物联网服务,将后者的功能转变为新的业务线。
“第一次,4G 和 5G 网络正试图带来这种网络曝光,”Shaik 说。“专有接口现在正在发生变化,并慢慢转向通用或商品化技术,如 API。”
“因此,现在任何外部实体都可以通过使用服务 API 并通过 4G 或 5G 核心网络来实际控制他们的智能设备,”Shaik 引用了沃达丰在德国对无人机进行的测试说。“这个暴露层为无人机控制中心提供 API 和共享信息。”
运营商将这些物联网服务出售给愿意批量购买 1000 件或更多物联网 SIM 卡的企业(通过税号进行验证)。反过来,这些企业客户可以通过物联网连接管理 Web 界面管理这些 SIM 卡,物联网服务平台 Web 界面提供账户范围的控制。
愿意妥协
但是,配置或管理不善的 API 可能会打开其他客户的物联网设备,甚至可能会破坏运营商的核心网络。例如,攻击者可能首先利用漏洞“获取托管在同一平台上的任意用户的数据”,然后尝试破坏运营商的应用服务器——然后可能“从那里渗透到移动核心网络,因为它们是相连的”谢克继续说道。
他和同样来自柏林工业大学的研究员 Shinjo Park 和来自 NetStudio Spa 的 Matteo Strada 通过从九个服务中购买物联网 SIM 卡,然后测试它们是否存在可能的弱点来测试这一点。
(Shaik 没有说出他们的名字,但一张幻灯片将其中三家描述为网络运营商,并将六家列为 MVNO。他后来在谈话中说,大多数在欧洲,两个“可能”在美国,一个在亚洲。)
他的顶级结论:“还有很多东西缺失。”
研究人员很容易获得商业物联网账户,Shaik 说这反映了了解你的客户的合规性差:“许多提供商的客户验证非常宽松,当我们试图与提供商争论时,我们真的没有一个很好的回应。”
他们还发现缺乏基本的帐户安全性,“接受了很多字典密码”——无论是在创建帐户时还是在之后更新它们时。
研究人员随后发现,这九家公司中有四家使用静态令牌进行服务平台授权,有效期从 24 小时到一周不等,这违反了要求 OAuth 登录的GSMA 准则。九个中的三个没有使用 HSTS(HTTP 严格传输安全)完全加密 Web 门户访问,这是针对中间人攻击的关键防御。
对物联网 API 的动态分析发现对安全性的进一步忽视,首先是运营商向演示用户公开甚至“敏感功能”的案例。当被问及时,Shaik 说,这些服务表示这是一种客户获取策略:“他们真的很想推销他们的平台并吸引尽可能多的客户。”
这九项服务中有七项甚至没有尝试对 API 访问实施速率限制,他继续说:“我们无法真正找到速率限制问题,其中只有两个实际上设置了速率限制。”
未能通过为设备分配随机标识符来掩盖客户身份会增加攻击者能够针对特定公司的风险。
入侵的载体
Shaik概述了一些可能的攻击。例如,攻击者可以通过 SMS向 IoT 设备发送恶意软件(他指出,一些运营商告诉他的团队,国家法律禁止扫描 SMS 流量中的恶意软件)或使用广播下行链路消息来进行拒绝服务攻击(例如订购物联网设备增加数据消耗或保持清醒直到电池耗尽)。
研究人员进一步发现,为客户访问提供的 webhook 通常没有使用标准的 HTTPS 加密进行保护,从而导致各种客户数据泄露。
最后,他们观察到这些运营商中的大多数都没有保护他们的物联网 API 来拒绝恶意输入字符串,攻击者可以利用这些字符串在他们的平台上运行任意代码。Shaik 说:“其中至少有六个没有真正的代码注入保护。”
这些服务中只有两项通过了研究人员的测试:“其中只有两项没有受到我们看到的漏洞和设计风险的影响,”Shaik 说,并补充说,在他的团队私下向这些公司披露这些问题之前,没有人意识到这些问题.
Shaik 敦促具有物联网意识的提供商遵循现有的 GSMA 安全指南,然后采用经过验证的安全实践,例如通过仅提供特定用例所需的 API、随机化用户标识符、限制访问、执行严格的输入验证以及监控和监控来减少攻击面。记录网络流量。
“拥有业内普遍推荐的额外安全实践非常重要,”他说。“我知道这很困难,但这是唯一的方法。”