警惕IoT設備後門安全問題

最近,美國安防攝像頭公司Verkada確認遭大規模黑客攻擊。黑客訪問並公佈了來自特斯拉和Cloudflare等機構的實時視頻源,以及來自各種其他Verkada客戶的視頻和圖像,受影響的場所甚多,包括辦公室、倉庫、工廠監獄、精神病院、銀行和學校等。

值得注意的是,在此次事件中,黑客通過上圖展示了可以通過廠商預留的維護後門,以超級管理員身份登錄用戶攝像頭,執行任意Shell指令。這意味着,在過去的數年時間裡,廠商隨時都可以通過該後門,在用戶不知情的狀態下執行任意動作。

在IoT設備幾乎無處不在的今天,每一個安全問題導致的威脅可能是方方面面的。因爲設備可能是在普通用戶的家庭中,可能是在本次事件的工廠、學校、監獄中,它們雖然在不起眼的角落裡,卻晝夜不停地流動着每個人日常生活裡的各類數據,比如持續監控的攝像頭、持續傳輸各類上網數據的路由器等。

一旦這些設備被黑客通過後門攻陷,產生的安全威脅是巨大的。爲此,360工業互聯網安全研究院過去一直通過大規模IoT固件的角度,關注這個領域的整體安全情況。

實際上,根據360FirmwareTotal固件安全分析平臺過去採集的數十萬IoT設備固件分析顯示,不只是攝像頭,在路由器等設備裡的後門也屢見不鮮。也許是開發者爲了調試設置的接口,在產品發佈時忘記關閉;又或者是類似本次的案例,廠商爲了方便遠程維護,在設備中預置了後門。

設備後門類型也很多,有直接在硬件層面植入的,也有通過軟件植入的;有把telnet服務端口保持開放的,也有平時保持關閉,但留下了隱藏的開關,可以被特定指令觸發開啓的。上述的後門裡,最隱蔽的,就是需要特定指令開啓的後門。

在學習大量過往案例經驗的基礎上,360工業互聯網安全研究院針對隱蔽後門總結了一些識別模式,並在大量的固件數據集中,驗證這些識別模式的有效性。最終,通過不斷的驗證與改進,訓練出來了一個行之有效的隱蔽後門識別模式,並發現了多個設備後門。

比如在某知名廠商的多個型號攝像頭產品中,通過向特定的端口,發送特定的數據包,就會觸發攝像頭開啓telnet。

在該攝像頭內的程序中也可以清晰地看到相關邏輯,在該特殊端口接收到特定字符串後,就會判斷是接收到了“暗號”,並執行telnetd。

此外,路由器等設備中也發現了不少遺留的後門。比如國內某廠商的路由器,在該設備的後臺控制頁面中,有一個隱藏頁面。所謂隱藏,是指沒有任何Url鏈接到它。這樣一來,普通用戶即使登錄到路由器的控制後臺界面,也無法發現。在這個隱藏頁面,就有一個可以開啓telnet服務的開關。

通過逆向該頁面調用的相關程序,可以看到其通過重啓了telnet服務的方式,將telnet端口打開。

開啓telnet服務後,開發者就可以方便地進行調試工作。當然,如果被惡意黑客發現的話,也可能會被利用於惡意攻擊。

在FirmwareTotal中被模式識別發現的另一個例子裡,實現執行開啓後門的特定指令,是一個特殊的鏈接地址。通過訪問這個特定的鏈接,就能觸發路由器打開telnet服務。

可以看到網頁顯示加載telnetd成功,通過端口掃描也可以監測到,原本關閉的telnet服務,現在開啓了。

除此以外,利用該模式也發現了其他的例子。例如美國一家知名廠商的設備中,就是通過另外一個特殊的鏈接,觸發後門的開關。從返回的消息看,“DebugEnable!”應該也是開發人員爲了方便調試而預留的接口。

可以看到,在不同類型的設備中,都存在着這樣那樣的隱蔽後門。建議商家或開發者在發佈產品之前,應該注意將調試接口關閉,以防被有心之人利用,行不法之事。也提醒廣大的消費者,要及時將家中的IoT設備升級到最新版本。