全球关注:下一波无线安全担忧:API 驱动的物联网设备
来源:千家网 发布时间:2022-08-23 15:45:39

无线运营商可能是下一个要艰难学习物联网设备带来的安全风险的角色。这一警告来自柏林工业大学高级安全研究员 Altaf Shaik最近在Black Hat 信息安全会议上的简报。

“在 5G 方面,威胁越来越大,而且影响也相当大,因为在这里黑客可以针对整个行业,而不仅仅是单个用户,”Shaik 在这个 40 分钟的演示开始时说道。

点击此出下载配PDF演示稿


(资料图片)

这里的核心问题是 5G 在连接人(正如Shaik 在去年的黑帽会议上的演讲中所探讨的那样,通过 5G 获得显着的隐私升级)和机器方面的效用。运营商现在正在通过向这些客户可以通过新 API 直接管理的企业提供物联网服务,将后者的功能转变为新的业务线。

“第一次,4G 和 5G 网络正试图带来这种网络曝光,”Shaik 说。“专有接口现在正在发生变化,并慢慢转向通用或商品化技术,如 API。”

“因此,现在任何外部实体都可以通过使用服务 API 并通过 4G 或 5G 核心网络来实际控制他们的智能设备,”Shaik 引用了沃达丰在德国对无人机进行的测试说。“这个暴露层为无人机控制中心提供 API 和共享信息。”

运营商将这些物联网服务出售给愿意批量购买 1000 件或更多物联网 SIM 卡的企业(通过税号进行验证)。反过来,这些企业客户可以通过物联网连接管理 Web 界面管理这些 SIM 卡,物联网服务平台 Web 界面提供账户范围的控制。

愿意妥协

但是,配置或管理不善的 API 可能会打开其他客户的物联网设备,甚至可能会破坏运营商的核心网络。例如,攻击者可能首先利用漏洞“获取托管在同一平台上的任意用户的数据”,然后尝试破坏运营商的应用服务器——然后可能“从那里渗透到移动核心网络,因为它们是相连的”谢克继续说道。

他和同样来自柏林工业大学的研究员 Shinjo Park 和来自 NetStudio Spa 的 Matteo Strada 通过从九个服务中购买物联网 SIM 卡,然后测试它们是否存在可能的弱点来测试这一点。

(Shaik 没有说出他们的名字,但一张幻灯片将其中三家描述为网络运营商,并将六家列为 MVNO。他后来在谈话中说,大多数在欧洲,两个“可能”在美国,一个在亚洲。)

他的顶级结论:“还有很多东西缺失。”

研究人员很容易获得商业物联网账户,Shaik 说这反映了了解你的客户的合规性差:“许多提供商的客户验证非常宽松,当我们试图与提供商争论时,我们真的没有一个很好的回应。”

他们还发现缺乏基本的帐户安全性,“接受了很多字典密码”——无论是在创建帐户时还是在之后更新它们时。

研究人员随后发现,这九家公司中有四家使用静态令牌进行服务平台授权,有效期从 24 小时到一周不等,这违反了要求 OAuth 登录的GSMA 准则。九个中的三个没有使用 HSTS(HTTP 严格传输安全)完全加密 Web 门户访问,这是针对中间人攻击的关键防御。

对物联网 API 的动态分析发现对安全性的进一步忽视,首先是运营商向演示用户公开甚至“敏感功能”的案例。当被问及时,Shaik 说,这些服务表示这是一种客户获取策略:“他们真的很想推销他们的平台并吸引尽可能多的客户。”

这九项服务中有七项甚至没有尝试对 API 访问实施速率限制,他继续说:“我们无法真正找到速率限制问题,其中只有两个实际上设置了速率限制。”

未能通过为设备分配随机标识符来掩盖客户身份会增加攻击者能够针对特定公司的风险。

入侵的载体

Shaik概述了一些可能的攻击。例如,攻击者可以通过 SMS向 IoT 设备发送恶意软件(他指出,一些运营商告诉他的团队,国家法律禁止扫描 SMS 流量中的恶意软件)或使用广播下行链路消息来进行拒绝服务攻击(例如订购物联网设备增加数据消耗或保持清醒直到电池耗尽)。

研究人员进一步发现,为客户访问提供的 webhook 通常没有使用标准的 HTTPS 加密进行保护,从而导致各种客户数据泄露。

最后,他们观察到这些运营商中的大多数都没有保护他们的物联网 API 来拒绝恶意输入字符串,攻击者可以利用这些字符串在他们的平台上运行任意代码。Shaik 说:“其中至少有六个没有真正的代码注入保护。”

这些服务中只有两项通过了研究人员的测试:“其中只有两项没有受到我们看到的漏洞和设计风险的影响,”Shaik 说,并补充说,在他的团队私下向这些公司披露这些问题之前,没有人意识到这些问题.

Shaik 敦促具有物联网意识的提供商遵循现有的 GSMA 安全指南,然后采用经过验证的安全实践,例如通过仅提供特定用例所需的 API、随机化用户标识符、限制访问、执行严格的输入验证以及监控和监控来减少攻击面。记录网络流量。

“拥有业内普遍推荐的额外安全实践非常重要,”他说。“我知道这很困难,但这是唯一的方法。”

标签: 研究人员 恶意软件 工业大学

上一篇:

下一篇:

猜你喜欢

全球关注:下一波无线安全担忧:API 驱动的物联

“在5G方面,威胁越来越大,而且影响也相当大,因为在这里黑客可以针对整个行业,而不仅仅是单个用...更多

2022-08-23 15:45:39

全球快看:能效、碳减排推动智能制造市场增长

根据集邦咨询的数据,通过积极采取措施增加节能和减少碳排放,到2026年,智能制造市场预计将达到620...更多

2022-08-23 15:49:49

世界百事通!气候变化影响人类的 6 种方式

由于我们的世界和我们的文化受到气候变化的影响如此之多,问题仍然存在,而我们可以做些什么吗?更多

2022-08-23 15:46:29

每日速讯:江森自控收购安全系统集成商Vindex Systems

VindexSystems提供交钥匙安全解决方案,包括从系统规划和设计到实施、安装、支持和维护的全包式安全...更多

2022-08-23 09:59:00

观热点:2022 年量子人工智能深度指南 | 智能百科

尽管人工智能在过去十年中取得了长足的进步,但尚未克服技术限制。借助量子计算的独特特性,可以消...更多

2022-08-22 15:41:04

世界热头条丨什么是智能建筑,为什么它们如此重要

一般来说,智能技术都是关于控制和自动化的。但究竟什么是智能建筑?更多

2022-08-22 16:00:42

天天速讯:安全服务边缘 (SSE):网络保护的关键

安全服务边缘(SSE,SecurityServiceEdge)是安全访问服务边缘(SASE)的一个组件,它提供安全网络以安...更多

2022-08-22 15:49:29

全球快报:网络安全趋势:展望未来 | Mckinsey

麦肯锡研究了三种最新的网络安全趋势及其对面临新出现的网络风险和威胁的组织的影响。更多

2022-08-22 15:58:26

天天看点:企业需要做好应对的3种网络威胁

在本文中,我们将介绍企业应注意的3种网络威胁趋势,以及减轻其破坏性影响以帮助高管的策略。更多

2022-08-22 15:48:46

世界热讯:量子计算如何帮助缓解全球气候变化?

任何需要优化的领域都可以采用量子计算;它可以是关于提高能源的性能,也可以是关于开发一个能源消...更多

2022-08-22 10:00:05