一、前言

　　受“UK independent consumer champion Which?”杂志委托，我们协助调查了物联网设备的安全性，并评估了每个设备的漏洞，包括智能插头和智能连接门铃。

　　这篇文章主要介绍我们在物联网智能门铃中发现的安全问题，以及它们对现实生活的影响。

　　二、调查设备

　　Victure：VD300

　　无品牌：高清 Wi-Fi 视频门铃 V5

　　无品牌：智能 WiFi 门铃 （YinXn）

　　奇 虎：360 D819智能视频门铃

　　Accfly：智能视频门铃 V5

　　无品牌：智能无线上网门铃 -XF-IP007H

　　三、信息收集

　　未记录的设备功能

　　（一）DNS 服务器（端口 53）

　　我们发现在奇虎360设备上存在DNS服务。这项服务功能齐全，发送到设备的请求会得到响应。

　　我们不清楚为什么在设备上运行DNS服务，因为 *** 中这个级别的所有请求都将由路由器发出的DNS IP来处理。对这类服务的调查有时会导致恶意软件传递的秘密DNS通道。在测试过程中，没有看到任何东西能把我们带进这样一个漏洞。

　　（二）HTTP 服务（端口 80）

　　我们发现在Victure门铃端口 80 上运行的 HTTP 服务可以通过用户 *** 访问，并且需要一组凭据：

　　

　　我们在网上找到了无品牌设备。固件是从该设备中提取出来的，通过简单地在固件上执行字符串来检索登录详细信息。对设备固件的进一步分析揭示了与设备交互所需的API调用。

　　以下端点提供了从设备收集调试信息的功能，包括Wi-Fi和后端MQTT服务器的凭据。需要按以下顺序调用终结点：打开（启动日志记录）、上传（读取日志）然后关闭，这将停止日志记录过程。

　　· /log/open

　　· /log/upload

　　· /log/close

　　

　　（三）存储的明文 Wi-Fi 凭据

　　在上述进程的日志输出中，可以看到明文 Wi-Fi 名称和密码：

　　[01-01 00:00:00][WARN][board.c:1602] [[[[ dev_cfg wifi_ssid: ]]]]

　　[01-01 00:00:00][WARN][board.c:1603] [[[[ dev_cfg wifi_psk: ]]]]

　　（四）MQTT 凭据

　　由于无法测试凭据，因此不知道从持有设备的 MQTT 信息中获得哪些信息。如下日志代码段所述，它们被视为有效，并可能启用连接到后端服务器的其他设备：

　　[10-30 19:42:16][DBG][mqtt_api.c:464] [[[[ Using default username: ]]]]

　　[10-30 19:42:16][DBG][mqtt_api.c:473] [[[[ mqtt_params.password: ]]]]

　　[10-30 19:42:16][DBG][pps_ssl.c:168] [[[[ . Connecting to ok ]]]]

　　[10-30 19:42:16][DBG][pps_ssl.c:176] . Setting up the SSL/TLS structure... ok

　　[10-30 19:42:16][DBG][iotx_mqtt_client.c:100] Input heartbeat interval(300000 ms) > Allowed maximum(180000 ms)

　　[10-30 19:42:16][DBG][pps_sd_stream_mng.c:59] record I frame date: 1604086936

　　[10-30 19:42:16][DBG][iotx_mqtt_client.c:240] [[[[ MQTT init success! ]]]]

　　系统命令

　　· /sys/factory_reset – Wipes the device

　　· /sys/console

　　· /sys/sleep – Sleeps the device

　　· /sys/active – Holds the device as active

　　固件更新

　　嵌入式 Web 应用程序执行固件升级的 *** ：

　　· /flash/encryption

　　· /flash/identity

　　· /flash/upgrade/all

　　· /flash/upgrade/ppstrong

　　· /flash/upgrade/percent

　　· /flash/upgrade/release_package

　　· /flash/iperf3

　　

　　（五）面向互联网的设备

　　搜索shodan.io pstrong，证实了我们对这些设备最深切的担忧。在撰写此文时，我们发现有 171 台在线设备包含"user@ppstrong"登录信息。这些设备没有使用我们从设备中提取的登录详细信息进行测试，但是它们有一个静态的IP地址并且可以通过互联网访问，这一点非常令人担忧。

　　

　　 显示在线 171 个门铃控制面板

　　四、移动应用程序

　　（一）应用程序通信未加密

　　在很多设备上，HTTPS 未强制执行，或者甚至作为通信 *** 存在于一系列移动应用程序上，例如 Victure 移动应用程序，这些应用程序被发现通过 HTTP 请求根证书。

　　获取请求：

　　GET /cert_pub/root.crt HTTP/1.1

　　Accept-Language: en-US,en;q=0.8

　　User-Agent: Mozilla/5.0 (Linux; U; Android 8.1.0; en-us; Nexus 5X Build/OPM6.171019.030.K1) AppleWebKit/533.1 (KHTML, like Gecko)Version/5.0 Mobile Safari/533.1

　　Host: aliyun-iot.oss-cn-hangzhou.aliyuncs.com

　　Connection: close

　　Accept-Encoding: gzip, deflate

　　响应：

　　（二）生成不安全的二维码

　　这些设备的二维码有多种用途。有些设备使用移动应用程序生成的二维码，将 Wi-Fi BSSID 和密码共享到门铃，而其他设备则具有共享功能，允许其他人访问设备并修改配置文件，因此理论上其他家庭成员或朋友也可以访问设备视频流和通知。

　　在测试过程中，每个二维码都被捕获并进行分析，在生成和使用时，揭示了纯文本中包含的所有细节。生成二维码都没有使用任何类型的编码或加密来保护被使用的数据。由于某些原因，这里不包括我们在研究期间生成的任何二维码。

　　简单的东西缺乏安全性也暗示了这些设备的初始概念和设计的一个更深层次的问题。安全二维码的生成需要移动应用程序和硬件的强大支持。这将要求开发人员和工程师接受扩展的硬件要求，以将这种安全级别集成到 IoT 设备的硬件和软件中。

　　（三）服务未经身份验证

　　我们测试的一些设备显示，门铃和移动应用程序用于通信的后端服务访问控制的很差。特别是无品牌的门铃（HD Wi-Fi 视频门铃 V5）在处理特权 API 请求时，没有任何身份验证就可以修改设置。

　　以下 获取请求是使用设备的序列号在设备上请求信息时执行的。在此之前，请求不需要生成会话 Cookie，只需知道序列号。

　　获取请求：

　　[[[[ GET /device_check/EKDB_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx ]]]] HTTP/1.1

　　Host: api.gdxp.com:8100

　　User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0

　　Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

　　Accept-Language: en-US,en;q=0.5

　　Accept-Encoding: gzip, deflate

　　Connection: close

　　Upgrade-Insecure-Requests: 1

　　响应：

　　获得的数据可以提供设备的大 *** 置。此设备的另一个主要问题是能否以未经身份验证的用户身份修改音量：

　　POST 请求：

　　POST /app_update_property HTTP/1.1

　　Content-Type: application/x-www-form-urlencoded

　　Content-Length: 66

　　Host: api.gdxp.com:8100

　　device_sn=EKDB_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&ring_volume=72

　　响应：

　　HTTP/1.1 200 OK

　　{"resultCode":0,"msg":"","content":[]}

　　此外，通过设备序列旁边的date/time戳猜测文件名，也证明了从该设备访问和查看图像的 *** 非常简单：

　　

　　正如前两个问题所概述的，这个设备特别是在后端API上存在着严重的的访问控制缺陷。

　　（四）发送到其他国家/地区的数据

　　在调查 Victure 门铃使用"CloudEdge"移动应用程序时，发现了以下帖子请求。因为发现 Victure 移动应用程序在查看 CloudEdge 应用程序的反馈部分时，正在向 Web 服务器发送用户的 Wi-Fi 详细信息，这使用户的隐私受到严重影响。

　　Wi-Fi SSID 和密码被发送到位于美国的服务器，该服务器由中国的云提供商运营。从其他门铃的研究可以发现这种行为是不寻常的，因为其他移动应用程序不可以这样做。另外，还提出了更多的问题，为什么这些细节需要导出？这些数据可以很容易地与开源工具结合使用，以映射上传到这些服务器的 Wi-Fi *** 的物理位置，以创建活动设备的地图，以便使用 等资源进行进一步分析。

　　

　　域日志发送到：

　　我们使用 Frida 绕过证书防护获得后端执行数据或信息。在这些调查期间，可以看到移动应用程序定向和通信的域名，这是一个由maerai.com.cn重定向到

　　Mearitek 是 Victure 的一家独立公司，似乎是 Victure 门铃利用的"CloudEdge"应用程序的创建者。Victure还 没有为自己的设备创建自己的应用程序，并且正在使用另一家公司的基础设施和软件来托管他们的设备，这也是不寻常的行为。

　　五、硬件

　　（一）没有安全性的门铃安装

　　固定这些设备的主要 *** 是使用粘合或拧在平面上的安装支架，然后把设备安装在支架中。攻击者很容易在 10 秒内快速释放门铃并窃取设备，而某些设备在关闭或移动之前是无法通知用户的。

　　在测试的设备中只有一个是具有压力触发器的，可以在设备移动后启动报警并快速取出电池或电源线以禁用设备。

　　也可以使用廉价的 2.4GHz 干扰器断开门铃与 Wi-Fi *** 的连接，然后从固定支架上窃取设备以进一步分析。

　　

　　（二）设备分析

　　当门铃运动传感器触发时，所有门铃都可以使用微型 SD 卡存储录制的视频和音频样本。廉价的 128GB 存储卡可以容纳长达 72 小时的录制材料，允许恶意攻击者分析当地每天发生的事件。

　　除了存储卡外，攻击者还可以相对容易地从设备复制固件。所有被分析的设备都使用了小型闪存芯片，这些芯片存储了易于分析的设备固件。有一种非破坏性的 *** 需要知道flash芯片的引脚布局，然后尝试使用诸如总线盗版器之类的设备从中复制数据。

　　

　　获得此信息后，可以快速分析，如果固件存储数据不正确，攻击者不仅可以找到 Wi-Fi BSSID，而且能查找访问 *** 的纯文本 Wi-Fi 密码。一旦攻击者拥有 Wi-Fi 详细信息并了解用户何时进入或离开，这就会无比危险了。

　　（三）不安全的固件更新过程

　　一旦设备暴露在公网，制造商可以部署软件更新到移动应用程序和设备固件。通常移动应用程序更新由相应的应用程序平台（Google Play、iOS 应用商店等）处理，但设备固件升级却很难处理。固件可能是 IoT 设备制造商可以开发的最敏感信息，因为这些信息控制硬件（摄像机、物理 Wi-Fi 模块等）需要保护。

　　在研究移动应用程序和远程固件更新功能时，发现调用特定 URL 也会下载更新固件所需的二进制文件。在调查的一些案例中，这些 URL 仅使用 HTTP 并且未经身份验证，允许任何了解该 URL 的人下载固件进行分析。

　　获得固件后，可以使用一系列二进制分析工具（Binwalk、Ghidra，甚至像字符串一样简单的 Linux 工具）进行分析，以分解固件结构，发现固件中包含的敏感信息，包括硬编码凭据、IP 地址和固件，以了解固件及其潜在的弱点。

　　

　　通过这些固件分析 *** ，我们还发现其中一台设备没有被修补，很容易受到2017年发布的KRACK漏洞的影响。由于其严重影响，发现后该漏洞很快就被修补了。这表明该设备的使用年限超过三年，并且在存放期间一直处于易受攻击的状态，直到购买点为止。或者，最坏的情况是该设备是最近制造的，但由于使用了已知的易受攻击（和已修补的）组件而疏忽大意。

　　

　　CVEs 链接:

　　六、攻击脚本

　　（一）保存的二维码信息泄漏

　　有些人使用他们的智能手机拍摄不同东西或者截图，并且现在大多数智能手机也自动备份照片。

　　让我们想象一下，假如一个恶意参与者已经访问过电脑，并完全控制了该设备，或者已经能够获得凭据，登录第三方帐户，如谷歌或iCloud和访问基础数据（前几年的许多攻击都使用这些技术）和随机二维码（从以前的截图/图像备份）作为此信息转储的一部分。然后，攻击者可以快速破解二维码并提取 Wi-Fi *** 的纯文本 BSSID 和密码，而不必尝试 deauth 和/或邪恶的双攻击。

　　（二）获得对 *** 的持久性访问

　　如果可以通过 Internet 远程访问设备，则存在访问 *** 的能力。攻击者可以使用共享的硬编码用户名和密码登录到公开的控制面板，执行恶意固件升级，并创建进入受害者 *** 的网关。

　　这种类型的攻击，可能听起来有点牵强，但考虑到Victure门铃可以远程登录，有一系列 *** 来上传固件，这些属性使这种类型的攻击也成为可能。一旦攻击者进入目标 *** ，只要 *** 没有保护到位，则可以攻击。

　　（三）取证恢复

　　将设备连接到墙壁的支架非常脆弱，有些支架只有一个夹子来连接它们，并且很容易从墙上解开或撕裂。一旦设备落入恶意参与者之手，他们就可以快速取出电池或断开为设备供电的微型 USB 电缆。某些移动应用程序没有功能通知 Web 应用程序，如果它从剪辑中删除，只有一个无品牌设备有一个压力开关，可以触发报警，但它可以通过取出电池快速停用。一旦攻击者拥有物理设备，他们就可以取出 SD 卡并查看所有记录的数据，然后复制固件。

　　（四）固件操作

　　由于固件缺乏加密，很容易对固件进行反向工程，不仅是提取底层操作系统的结构，还提取 *** 的BSSID和纯文本密码，然后登录到该 *** ，这也为定位 *** 上其他设备提供了机会。同样，攻击者可以向设备（如 SSH 或 telnet）引入新服务以提供远程连接，这将要求最终用户使用应用程序重新验证门铃，这可能在不知不觉中将木马设备连接到其 *** 。

　　七、总结

　　（一）配对问题

　　生成的所有二维码都公开了敏感数据，无论是以用户名和密码的形式访问设备流还是 Wi-Fi *** 凭据。使用声波音频配对模式的门铃也有一致的问题。用更安全的 *** 生成二维码来保护传输的数据，或者使用其他 *** ，如蓝牙配对。

　　（二）访问控制

　　在访问控制方面，最严重的情况是在无品牌设备上看到的，该设备能够无需任何身份验证，更改原设置，并且只需了解设备序列号即可。部署零访问控制表明对敏感用户信息缺乏了解和保护。

　　（三）门铃安装和取证鉴定

　　在整个智能门铃的调查中，有一个一直存在的问题是，在设备的物理安装方面缺乏安全性，这就导致了其他问题。大多数无品牌设备缺少移动门铃时触发的任何物理开关。然后，其他设备要么延迟通知移动应用程序，要么可以迅速删除电源（电池、microUSB）。移动应用程序的分析一致表明，通知一旦被延迟，就可能永远不会到达用户处。门铃被盗后，内含的取证信息将允许攻击者相对容易地检索 Wi-Fi BSSID 和密码，也可能有数小时的视频和录音，攻击者可以根据门铃视频对受害者的家或周边地区进行分析。

　　（四）未记录的功能

　　我们发现许多未记录的功能对设备的运行也会造成伤害。例如，Victure 门铃能够通过登录到设备来管理和控制设备。此攻击中使用的凭据是从闪存获取的，闪存指出运行此固件的所有设备都使用相同的硬编码值。更严重的是，网上还可以查找到许多设备的登录界面。

　　总的来说，我们在这项研究中看到的问题概述了安全物联网设备开发的错误 *** 。但是仍有一些存在这些问题的设备正在开发、发货和出售，更不要说那些仿冒的无品牌设备了。

　　本文由0431实验室整理并翻译。

　　来源：