警惕IoT設備後門安全問題

最近，美國安防攝像頭公司Verkada確認遭大規模黑客攻擊。黑客訪問並公佈了來自特斯拉和Cloudflare等機構的實時視頻源，以及來自各種其他Verkada客戶的視頻和圖像，受影響的場所甚多，包括辦公室、倉庫、工廠監獄、精神病院、銀行和學校等。

值得注意的是，在此次事件中，黑客通過上圖展示了可以通過廠商預留的維護後門，以超級管理員身份登錄用戶攝像頭，執行任意Shell指令。這意味着，在過去的數年時間裡，廠商隨時都可以通過該後門，在用戶不知情的狀態下執行任意動作。

在IoT設備幾乎無處不在的今天，每一個安全問題導致的威脅可能是方方面面的。因爲設備可能是在普通用戶的家庭中，可能是在本次事件的工廠、學校、監獄中，它們雖然在不起眼的角落裡，卻晝夜不停地流動着每個人日常生活裡的各類數據，比如持續監控的攝像頭、持續傳輸各類上網數據的路由器等。

一旦這些設備被黑客通過後門攻陷，產生的安全威脅是巨大的。爲此，360工業互聯網安全研究院過去一直通過大規模IoT固件的角度，關注這個領域的整體安全情況。

實際上，根據360FirmwareTotal固件安全分析平臺過去採集的數十萬IoT設備固件分析顯示，不只是攝像頭，在路由器等設備裡的後門也屢見不鮮。也許是開發者爲了調試設置的接口，在產品發佈時忘記關閉；又或者是類似本次的案例，廠商爲了方便遠程維護，在設備中預置了後門。

設備後門類型也很多，有直接在硬件層面植入的，也有通過軟件植入的；有把telnet服務端口保持開放的，也有平時保持關閉，但留下了隱藏的開關，可以被特定指令觸發開啓的。上述的後門裡，最隱蔽的，就是需要特定指令開啓的後門。

在學習大量過往案例經驗的基礎上，360工業互聯網安全研究院針對隱蔽後門總結了一些識別模式，並在大量的固件數據集中，驗證這些識別模式的有效性。最終，通過不斷的驗證與改進，訓練出來了一個行之有效的隱蔽後門識別模式，並發現了多個設備後門。

比如在某知名廠商的多個型號攝像頭產品中，通過向特定的端口，發送特定的數據包，就會觸發攝像頭開啓telnet。

在該攝像頭內的程序中也可以清晰地看到相關邏輯，在該特殊端口接收到特定字符串後，就會判斷是接收到了“暗號”，並執行telnetd。

此外，路由器等設備中也發現了不少遺留的後門。比如國內某廠商的路由器，在該設備的後臺控制頁面中，有一個隱藏頁面。所謂隱藏，是指沒有任何Url鏈接到它。這樣一來，普通用戶即使登錄到路由器的控制後臺界面，也無法發現。在這個隱藏頁面，就有一個可以開啓telnet服務的開關。

通過逆向該頁面調用的相關程序，可以看到其通過重啓了telnet服務的方式，將telnet端口打開。

開啓telnet服務後，開發者就可以方便地進行調試工作。當然，如果被惡意黑客發現的話，也可能會被利用於惡意攻擊。

在FirmwareTotal中被模式識別發現的另一個例子裡，實現執行開啓後門的特定指令，是一個特殊的鏈接地址。通過訪問這個特定的鏈接，就能觸發路由器打開telnet服務。

可以看到網頁顯示加載telnetd成功，通過端口掃描也可以監測到，原本關閉的telnet服務，現在開啓了。

除此以外，利用該模式也發現了其他的例子。例如美國一家知名廠商的設備中，就是通過另外一個特殊的鏈接，觸發後門的開關。從返回的消息看，“DebugEnable！”應該也是開發人員爲了方便調試而預留的接口。

可以看到，在不同類型的設備中，都存在着這樣那樣的隱蔽後門。建議商家或開發者在發佈產品之前，應該注意將調試接口關閉，以防被有心之人利用，行不法之事。也提醒廣大的消費者，要及時將家中的IoT設備升級到最新版本。