绿盟科技格物实验室 绿盟科技威胁情报中心 绿盟科技创新中心 网络安全应急技术国家工程实验室 物联网安全年报2020 版权声明 为避免合作伙伴及客户数据泄露 ， 所有数据在进行分析前都已经 过匿名化处理 ， 不会在中间环节出现泄露 ， 任何与客户有关的具体信息 ， 均不会出现在本报告中 。 关于绿盟科技 绿盟科技集团股份有限公司 （ 以下简称绿盟科技 ） ， 成立于2000年 4 月 ， 总部位于北京 。 公司于2014年1月29日起在深圳证券交易所创业板 上 市 ， 证券代码： 300369。 绿盟科技在国内设有40多个分支机构 ， 为 政 府 、 运营商 、 金 融 、 能 源 、 互联网以及教育 、 医疗等行业用户 ， 提供全线网 络安全产品 、 全方位安全解决方案和体系化安全运营服务 。 公司在美国 硅 谷 、 日本东京 、 英国伦敦 、 新加坡设立海外子公司 ， 深入开展全球业务 ， 打造全球网络安全行业的中国品牌 。 关于CNCER T网络安全应急技术国家工程实验室 CNCERT网络安全应急技术国家工程实验室是于2013年由发改委 批复成立的、由国家互联网应急中心（CNCERT）运营的国家级实验室。 实验室致力于物联网及工控网安全领域的基础理论研究、关键技术研发 与实验验证，开展物联网及工控网相关的安全监测、态势感知、信息通 报与应急处置工作，向政府主管部门和行业用户提供威胁情报共享、态 势信息通报等服务，为国家关键基础设施的建设和运行提供网络安全 保障。 2020 物联网安全年报 I 目录 CONTENTS 目录 CONTENTS 1.历史漏洞回顾4 1.1漏洞数量逐年显著增长4 1.2漏洞数量逐年显著增长5 1.2.1漏洞数量逐年显著增长8 1.2.2漏洞数量逐年显著增长9 2.漏洞利用情况4 2.1典型漏洞攻击事件监测举例4 2.2实际攻击中常用到Nday漏洞5 3.漏洞发展趋势4 3.1浏览器漏洞种类复杂多样4 3.2文档类型漏洞是鱼叉攻击的重要载体5 摘要2 执行摘要 .1 1.2020 年重大物联网安全事件回顾 .3 1.1Ripple20.0day 漏洞曝光，扫荡数亿台联网设备 . 4 1.1.1事件回顾 . 4 1.1.2原理简述 . 4 1.1.3事件分析 . 5 1.2新的 OpenWrt.RCE 漏洞曝光，影响数百万台网络设备 . 5 1.2.1事件回顾 . 5 1.2.2原理简述 . 5 1.2.3事件分析 . 6 1.3CallStranger.UPnP 漏洞曝光，影响数十亿台设备 . 6 1.3.1事件回顾 . 6 1.3.2原理简述 . 6 1.3.3事件分析 . 7 1.4BadPower：让快速充电器变成手机电脑杀手 . 7 1.4.1事件回顾 . 7 1.4.2原理简述 . 7 1.4.3事件分析 . 8 1.5特斯拉废弃零件泄露隐私，谁为用户隐私买单？ . 8 1.5.1事件回顾 . 8 1.5.2原理简述 . 8 1.5.3事件分析 . 9 1.6智能门锁暗藏的物联网安全危机 . 9 1.6.1事件回顾 . 9 1.6.2原理简述 . 9 1.6.3事件分析 . 11 2020 物联网安全年报 II 目录 CONTENTS 1.7蓝牙冒充攻击（BIAS），无线安全不可忽视 . 11 1.7.1事件回顾 . 11 1.7.2原理简述 . 11 1.7.3事件分析 . 12 1.8DHDiscover：可放大近 200 倍的新型反射攻击 . 12 1.8.1事件回顾 . 12 1.8.2原理简述 . 12 1.8.3事件分析 . 12 1.9黑客伪造新冠病毒页面传播恶意软件 . 13 1.9.1事件回顾 . 13 1.9.2原理简述 . 13 1.9.3事件分析 . 14 1.10小结 . 14 2.物联网资产暴露情况分析 .15 2.1引言 . 16 2.2物联网资产暴露情况分析 . 16 2.2.1物联网资产标记方法介绍 . 16 2.2.2国内物联网资产暴露情况分析 . 19 2.3物联网蜜罐暴露情况分析 . 20 2.3.1蜜罐简介 . 20 2.3.2物联网蜜罐特征情况 . 21 2.3.3物联网蜜罐地理分布情况 . 23 2.4小结 . 24 3.物联网脆弱性分析 .25 3.1引言 . 26 3.2物联网漏洞披露统计 . 26 3.3物联网漏洞的利用情况 . 28 3.3.1攻击者对 Exploit-DB 平台的利用分析 . 28 3.3.2物联网漏洞利用分析 . 30 3.4小结 . 33 2020 物联网安全年报 III 目录 CONTENTS 4.物联网威胁分析 .35 4.1引言 . 36 4.2境外攻击源分析 . 36 4.3物联网恶意样本分布 . 38 4.4物联网安全威胁专题 . 41 4.4.1物联网反射攻击情况 . 42 4.4.2路由器 DNS 劫持攻击情况 . 47 4.4.3其他物联网安全威胁 . 53 4.5小结 . 55 5.总结与展望 .56 参考文献 .58 2020 物联网安全年报 IV 目录 CONTENTS 表格索引 表 2.1通过聚类发现的物联网设备情况 . 17 表 3.1攻击者利用 Exploit-DB 物联网相关漏洞的时间间隔 . 29 表 3.2攻击者利用最多的物联网漏洞 Top10（来源：CNCERT 物联网威胁情报平台） . 33 表 4.1活跃时间最长的样本 IOC（来源：CNCERT 物联网威胁情报平台） . 41 表 4.2物联网反射攻击相关协议简介 . 42 表 4.3物联网反射攻击相关协议的放大因子 . 43 2020 物联网安全年报 V 目录 CONTENTS 插图索引 图 1.1使用邮箱和 mac 地址连接 MQTT.Brokers. . 10 图 1.2使用 HTTP.Canary 嗅探账号和密码 . 10 图 1.3BIAS 攻击过程示例 . 11 图 2.1基于资产聚类与人工标记相结合的资产标记过程 . 17 图 2.2两个标记轮次的各个部分数据占比情况（左为第一轮） . 18 图 2.3基于机器学习的物联网资产标记趋势（国内） . 18 图 2.4国内物联网资产类型分布情况 . 19 图 2.5国内物联网资产省份分布情况 . 20 图 2.6部分蜜罐开放的端口数量情况 . 21 图 2.7蜜罐 4 的 ASN 分布情况 . 22 图 2.8蜜罐页面中的物联网指纹 . 22 图 2.9蜜罐中的物联网指纹分布情况 . 23 图 2.10物联网蜜罐部署国家分布情况 . 24 图 3.12002 年至 2020 年 NVD 漏洞数量变化趋势 . 26 图 3.22020 年 1 月至 11 月 NVD 物联网相关漏洞攻击复杂度分布 . 27 图 3.32020 年 1 月至 11 月 NVD 物联网相关漏洞 CVSS.3 评级分布 . 28 图 3.42020 年 1 月至 11，.月 Exploit-DB 披露的物联网相关漏洞类型分布 . 29 图 3.52020 年物联网漏洞利用攻击趋势（数据来源：CNCERT 物联网威胁情报平台） . 30 图 3.6排名前 10 的漏洞利用攻击趋势（数据来源：CNCERT 物联网威胁情报平台） . 31 图 3.7受攻击的物联网设备类型分布（数据来源：CNCERT 物联网威胁情报平台） . 32 图 3.8物联网漏洞利用类型分布（来源：绿盟威胁情报中心） . 32 图 4.1攻击源地理位置分布（来源：CNCERT 物联网威胁情报平台） . 36 图 4.2排名前三国家每月攻击源数（来源：CNCERT 物联网威胁情报平台） . 37 图 4.3攻击源目的端口分布（来源：CNCERT 物联网威胁情报平台） . 37 图 4.4全球物联网恶意样本传播 IP 地址分布图（来源：CNCERT 物联网威胁情报平台） . 38 图 4.5全球样本下载 IP 地址分布走势图（来源：CNCERT 物联网威胁情报平台） . 39 图 4.6样本运行架构分布图（来源：CNCERT 物联网威胁情报平台） . 39 2020 物联网安全年报 VI 目录 CONTENTS 图 4.7样本家族的样本数量占比（来源：CNCERT 物联网威胁情报平台） . 40 图 4.8样本活跃周期时间统计（来源：CNCERT 物联网威胁情报平台） . 41 图 4.9物联网服务全球暴露情况 . 43 图 4.10物联网反射攻击变化情况 . 44 图 4.11攻击者常用 Payload 分布情况 . 45 图 4.12物联网反射攻击受害者分布情况 . 46 图 4.13DNS 劫持攻击趋势分析 . 48 图 4.14攻击源主要开放端口分布情况 . 50 图 4.15CAIXA 银行的真实页面（左）和攻击者伪造页面（右） . 51 图 4.16潜在受影响设备暴露情况（设备厂商 - 型号） . 52 图 4.17潜在受影响设备暴露情况（设备厂商） . 53 2020 物联网安全年报 VII 目录 CONTENTS 观点索引 观点 1：2020 年曝光多个影响数亿物联网设备漏洞的安全事件，可用于发动大规模的 互联网的攻击；此外，多种涉及人们生活的物联网设备已成为攻击目标，物联网安 全已经从网络安全（Security）转向人身安全（Safety）。 . 4 观点 2：物联网的资产变化快、种类碎片化，导致物联网资产识别边际成本极高，从而 给物联网安全治理带来困难。我们通过人工智能与专家标记相结合的方法对国内全 部的 HTTP（s）数据进行处理，发现了约 50 万个业界未识别的物联网资产，是原 有标记数量的 2 倍，要达到高覆盖、准识别仍需要不断持续运营。 . 16 观点 3：物联网蜜罐会影响物联网资产识别和安全治理，所以未来物联网安全中蜜罐识 别具有重要意义。我们发现物联网蜜罐有三个特点，其一是开放 10 个上至全部端 口；其二是 Web 类型蜜罐 banner 中有大量的物联网设备的 Server 和 Title 指纹； 其三是一些蜜罐的 IP 地址部署在公有云。 . 21 观点 4：截至 2020 年 11 月，NVD 平台公布的物联网相关漏洞数量已达 1541 个，有望 创历史新高。总体而言，相关漏洞具有攻击复杂度低、危害评级高的特点。从我们 观察到的漏洞利用捕获情况，攻击者在漏洞利用披露后很快就将其纳入武器库。如 知名漏洞利用平台Exploit-DB中约17.39%的物联网相关漏洞被攻击者利用，且 从披露到首次在野利用最短仅需1天。可见，物联网漏洞利用是一种成本低、收 益高的攻击手段，且攻击者十分关注物联网漏洞利用，且对部分漏洞利用跟进速度 极快。 . 26 观点 5：通过绿盟威胁捕获系统，我们在 2020 年监测到近 10 种物联网相关威胁，利用 的脆弱性涉及弱口令、远程命令执行漏洞等。长期以来，攻击者一直企图采取各种 新型手段去探测、攻击并控制物联网设备，不需要花费较高成本即可创建数量庞大 的物联网僵尸网络，进而执行传播感染、拒绝服务、域名劫持和钓鱼欺诈等攻击， 危害互联网重要基础设施和广大普通用户。 . 41 2020 物联网安全年报 1 执行摘要 执行摘要 随着物联网的不断发展，物联网安全也越来越受到关注。自 2016年下半年的 Mirai僵尸网络攻击 事件之后，物联网相关的威胁层出不穷，多个在野漏洞被攻击者所利用，多个僵尸网络相继被研究人员 发现。今年，绿盟科技和国家互联网应急中心（ CNCERT）联合发布了物联网安全年报，旨在让大家对 2020年物联网相关的安全事件、资产、脆弱性和威胁情况有一个全面的认识。 报告中的主要内容如下： 第一章对 2020 年出现重大的安全事件进行回顾，其中，影响数亿设备的 Ripple20 漏洞和 CallStranger UPnP漏洞曝光事件，说明无论协议设计还是产品实现，物联网设备一旦出现漏洞，影响 规模将非常广泛，后果严重； BadPower、特斯拉零件泄密等事件说明攻击者对于物联网的攻击目标绝 不存在固定的类型，只要有利可图、有漏洞可利用，就可能会成为目标； DHDiscover反射攻击和黑客 伪造新冠病毒页面传播恶意软件事件说明攻击者针对和利用物联网设备的攻击手段不断改变，安全团队 需时刻保持警惕。总之，物联网广泛应用、数量庞大、设备脆弱等特点注定了它会是很长一段时间内的 攻防重地，针对和利用物联网设备进行的攻击已非常活跃。对攻击者而言，其攻击目标和攻击手段并非 一成不变，攻击者总能推陈出新，紧跟时政；对研究团队而言，研究范围要广，不能思维僵化；对监管 方而言，合规性是必需，同时安全治理手段要与技术手段结合。总之，物联网安全仍需多方共同努力。 第二章介绍了国内的物联网资产识别方法和暴露情况，以及对物联网蜜罐进行分析。物联网资产暴 露情况一直是我们需要关注的问题，只有尽可能掌握物联网资产信息，在安全防护上才能做到量体裁衣。 然而，考虑到物联网的多样性、异构性和长尾性，识别所有物联网资产是非常困难的。本章提出的人工 智能技术对物联网资产进行标记，可以提高物联网资产识别的覆盖度。在此过程中，我们发现安全厂商 的物联网安全主动防御机制中，越来越多地部署了伪装成物联网设备的蜜罐，其数量也不容忽视，所以 本章还从资产的角度描绘的物联网蜜罐的分布情况以及如何识别物联网蜜罐，有助于甄别真实的物联网 资产。 第三章主要对物联网脆弱性进行分析。首先，我们分析了物联网相关的年度漏洞披露情况， 2020 年 NVD平台公布的物联网相关漏洞具有攻击复杂度低、危害评级高的特点，且数量有望创历史新高。 之后，我们从公开站点获取、蜜网捕获和现网数据三个角度分别对物联网漏洞利用情况进行了分析，我 们共捕获到至少 100余种针对物联网漏洞的利用行为，其中以远程命令执行类漏洞为主，已经捕获的 2020 物联网安全年报 2 执行摘要 漏洞利用所针对的目标物联网设备以路由器和视频监控设备为主，这也与互联网上暴露的物联网设备主 要为路由器和视频监控设备一致，说明攻击者偏向于对暴露数量较多的设备进行攻击，从而扩大其影响 范围。 第四章主要对物联网威胁性进行分析。我们利用现网数据对来自境外的攻击源进行了分析。所有的 攻击源数量中，美国占比最高，另外我们发现埃及于 7月、印度于 9月都存在异常的大量攻击数据，推 测其于相应月份都存在大规模安全事件。然后我们对物联网相关的恶意样本的分布情况进行分析，印度、 俄罗斯、巴西、美国、欧洲各国的样本下载服务器数量较多，主流的 MIPS和 ARM架构受攻击数量占 很大比重，较早期的僵尸网络如 Mirai和 Gafgyt，目前在全球范围内仍有较大影响力。最后，我们选择 了近期监控到的近 10种物联网安全威胁进行分析，发现攻击者一直企图采取各种新型攻击手段去探测 并控制数量庞大的物联网设备，在不需要花费太多精力的情况下创建物联网僵尸网络，进而造成破坏。 总体来说，随着物联网的持续发展，新型问题不断出现，物联网安全形势愈发严峻，物联网安全防 护任重道远。 最后，我们有如下预测： 随着新基建的进一步推进，会有更多的新型物联网资产暴露在互联网上，这些资产的暴露，会对相 关的基础设施带来严重的安全威胁。相关方在进行新基建建设时，应谨慎考虑相关资产的暴露面。安全 相关企业可以关注新物联网资产的暴露情况，并推动相关暴露资产的治理。 物联网漏洞从出现 PoC到被攻击者实际利用的间隔将进一步缩短，攻击者不只关注于一个漏洞是否 是高危远程命令执行类漏洞，还会关注存在这个漏洞的资产的真实暴露面。对于既是远程命令执行类漏 洞，又有大量存在该漏洞的资产的漏洞，应该引起足够的重视，必要时，政府相关部门、电信运营商、 安全公司等应多方联动治理，将威胁消弭于无形。 1 2020年重大物联网安全事件回顾 2020 物联网安全年报 3 2020 年重大物联网安全事件回顾 1. 2020 年重大物联网安全事件回顾 1 2020年重大物联网安全事件回顾 2020 物联网安全年报 4 2020 年重大物联网安全事件回顾 随着 5G、移动计算等新技术的发展，近年来各类物联网场景快速得到应用，然而，物联网设备数 量快速增长的同时，也意味着一旦出现漏洞，其影响范围难以想象。今年已有数个影响范围极大物联网 相关漏洞和攻击被公开，如 Ripple20漏洞、CallStranger UPnP 漏洞以及蓝牙冒充攻击等，均影响数亿 物联网设备。 同时，物联网的特点就是万物互联，所以物联网安全也是一个宽泛的领域， BadPower和特斯拉废 弃零件存在泄露隐患的事件也在不断扩大人们对于物联网安全的认知范围。 最后，对攻击者而言，其攻击手段并非一成不变，尤其在物联网安全上，安全团队需时刻保持警惕。 DHDiscover反射攻击和黑客伪造新冠病毒页面传播恶意软件的事件，说明无论 DDoS手法还是传播恶 意软件，攻击者都能推陈出新，紧跟时政。 本章列举了 2020年影响较大的物联网安全事件。通过回顾相关的安全事件，读者可了解到当前的 物联网安全形势。 观点1：2020年曝光多个影响数亿物联网设备漏洞的安全事件，可用于发动大规模的互联网的攻击； 此外，多种涉及人们生活的物联网设备已成为攻击目标，物联网安全已经从网络安全（Security）转向 人身安全（Safety）。 1.1Ripple20 0day 漏洞曝光，扫荡数亿台联网设备 1.1.1事件回顾 2020年 6月 16日，以色列网络安全公司 JSOF公开了 19个严重影响 Treck TCP/IP协议栈的 0day 漏洞（又名“ Ripple20”）。全球数亿台 IoT设备，小到家用打印机、摄像头，大到工业控制系统和楼 宇自动化设备，都面临被入侵的风险。这一漏洞涉及医疗、航空、运输、家用设备、企业、能源、电信、 零售等行业，众多世界 500强的公司，如惠普，施耐德电气，英特尔等，都深受其害。目前 JSOF已与 多家组织合作协调漏洞披露和修补工作，全部的技术细节公布在今年的 BlackHat USA 2020。 1.1.2原理简述 前述 19个漏洞中，有 4个关键漏洞 CVSS（通用漏洞评分系统）评分超过 9分，其他 15个根据严 重程度不同， CVSS评分从 3.1到 8.2不等，可能会导致远程代码执行、敏感信息泄露，以及拒绝服务。 虽然它们原理和实现各有不同，但都源于使用不同协议网络上发送的数据包的处理错误问题。由于这些 2020 物联网安全年报 5 2020 年重大物联网安全事件回顾 漏洞发生在较底层的 TCP / IP堆栈中，大多发送的数据包与有效数据包非常相似，或者在某些情况下就 是完全有效的数据包，因而真实攻击流量可能会被判定为合法流量，从而绕过防火墙直接控制物联网设 备。更多解读可见绿盟科技研究通讯文章注意 -受 Ripple20影响的 Digi设备可被用于反射攻击 1 。 1.1.3事件分析 Treck TCP /IP协议栈是专为嵌入式系统而设计的高性能协议栈，具有高性能、可伸缩和可配置的特 点，能轻松集成到任何环境中，广泛应用于各类物联网设备。多年来， Treck公司相关设备制造商虽然 已修补了一些“Ripple20”漏洞，但这些漏洞具有多种变体，所以安全风险仍然很大。 1.2新的 OpenWrt RCE 漏洞曝光，影响数百万台网络设备 1.2.1事件回顾 ForAllSecure 软件公司的研究员 Guido Vranken 偶然间发现了一个基于 Linux 的开源操作系统 OpenWrt 的 RCE 漏洞，于 3月 24日在企业博客 2 中发布了该漏洞的技术详情和 PoC（漏洞编号为 CVE-2020-7982）。值得一提的是，该漏洞在 2017年 2月份就被引入代码，距今已有三年之久，在 今年年初才上报给 OpenWrt开发团队。根据 OpenWrt项目团队发布的信息，受影响版本是 18.06.0至 18.06.6、19.07.0 以及 LEDE 17.01.0至 17.01.7版本。 1.2.2原理简述 该漏洞存在于 OpenWrt 的 Opkg 包管理器中，由于包解析逻辑中的一个错误，包管理器忽略了嵌入 在签名存储库索引中的 SHA-256检验和，从而有效地绕过了已下载 .ipk工件的完整性检查，攻击者借 助 Opkg本身的 root权限以及特制的 .ipk数据包，便可以注入任意恶意代码。 该漏洞利用的前提是，攻击者需要给 Web 服务器提供受损的软件包，并且拦截替换设备与 downloads.openwrt之间的通信，或控制设备向 downloads.openwrt发送的 DNS查询。当在受害 者系统上调用“ opkg install ”安装命令时，在没有任何验证情况下，远程攻击者便可以利用该漏洞拦 截目标设备的通信信息，欺骗用户安装恶意程序包或采用软件更新的方式来执行恶意代码，从而获取设 备的完全控制权。 研究报告漏洞后， OpenWrt就移除了包列表中 SHA-256检验和的空格，这一定程度上可以缓解对 用户带来的危险，但攻击者依然可以通过由 OpenWrt维护者签名较旧的软件包列表进行相关操作。 2020 物联网安全年报 6 2020 年重大物联网安全事件回顾 1.2.3事件分析 OpenWRT是一个高度模块化，高度自动化的嵌入式 Linux系统，拥有强大的网络组件和扩展性， 常常被用于工控设备、电话、小型机器人、智能家居、路由器以及 VoIP设备，据不完全统计，该系统 已被安装到全球上百万个物联网设备上。当这类严重 RCE漏洞曝光后，设备用户应该以最快的速度升 级官方发布的补丁，避免受到影响。 1.3CallStranger UPnP 漏洞曝光，影响数十亿台设备 1.3.1事件回顾 2020年 6月 8日，安全专家披露了一个名为“ Call Stranger” 1 （漏洞编号为 CVE-2020-12695） 的新型 UPnP漏洞，该漏洞影响数十亿台设备，已确认受影响的设备名单包括 Windows PC、Xbox One 以及华硕、贝尔金、博通、思科、戴尔、 D-Link、华为、 Netgear、三星、 TP-Link、中兴等公司的电视 和网络设备。该漏洞可能会被远程、未经认证的攻击者滥用、进行反射 DDoS攻击、绕过安全系统进行 内网渗透，以及内部端口扫描。 1.3.2原理简述 UPnP（Universal Plug and Play， UPnP）是一种包含多个协议（如 SSDP、 SOAP等）的网络协议簇， 它允许联网设备，如个人电脑、打印机、互联网网关、 Wi-Fi接入点和移动设备无缝发现对方在网络上 的存在，并建立功能性网络服务，用于数据共享、通信和娱乐。 2020年 4月 17日之前生效的 UPnP协议簇， SUBSCRIBE函数中的 Callback参数可以被攻击者控制， 向互联网上可访问的任意目的地发送大量数据，导致反射攻击、数据外泄和其他意外的网络行为，影响 暴露在互联网上的数百万设备和局域网内的数十亿设备，OCF（Open Connectivity Foundation ）已经更 新了 UPnP规范来解决该问题。 传统的 UDP类反射攻击通常利用传输层为 UDP、端口固定的服务（如 SSDP、NTP 等），但该漏 洞造成反射攻击的 UPnP SOAP服务传输层为 TCP，且暴露在互联网中的 SOAP服务通常端口不固定， 一旦僵尸网络利用该漏洞进行反射攻击，将给防护带来一定的困难。 遗憾的是，该漏洞是一个协议漏洞，这意味着厂商可能需要很长时间才能发布安全补丁。为了缓解 该问题，厂商应在默认配置中禁用 UPnP SUBSCRIBE功能，并禁用暴露在互联网上设备的 UPnP协议。 2020 物联网安全年报 7 2020 年重大物联网安全事件回顾 1.3.3事件分析 尽管去年内，绿盟科技 2019物联网安全年报 6 建议厂商和用户避免在互联网中暴露 UPnP服务， 但根据绿盟威胁情报中心显示， 2020年全球仍有近数百万台开启了 UPnP服务的设备暴露在互联网中。 研究人员认为，一旦相关漏洞被披露，僵尸网络可能很快就会加以利用并发起反射攻击，这种新型反射 攻击，将给防护带来一定的困难。 诚然 UPnP服务对方便设备间互联互通有极大帮助，但其过于庞大的协议簇，从设计到实现均可能 存在各种缺陷，防止 UPnP服务被黑客利用仍需 OCF、设备厂商、运营商和用户多方共同努力。 1.4BadPower ：让快速充电器变成手机电脑杀手 1.4.1事件回顾 2020年 7月 15日，腾讯安全玄武实验室发布了一项命名为“BadPower”的重大安全问题研究报告 9 。 报告指出，市面上现行大量快充终端设备存在安全问题，攻击者可通过改写快充设备的固件控制充电行 为，造成被充电设备元器件烧毁，造成严重的后果。据保守估计，受“ BadPower”影响的终端设备数 量可能数以亿计。 具体的，腾讯玄武安全实验室对市面上 35款支持快充技术的充电器、充电宝等产品进行了测试， 发现其中 18款存在安全问题。攻击者可利用特制设备、手机、笔记本等数字终端来入侵快充设备的固件， 控制充电行为，使其向受电设备提供过高的功率，从而导致受电设备的元器件击穿、烧毁，还可能进一 步给受电设备所在物理环境造成安全风险。攻击方式包括物理接触和非物理接触，有相当一部分攻击可 以通过远程方式完成。在玄武实验室发现的 18款存在 BadPower问题的设备里，有 11款设备可以通 过数码终端进行无物理接触的攻击。腾讯安全玄武实验室已于 3月 27日将“BadPower”问题上报给 国家主管机构 CNVD，同时也在积极和相关厂商一起推动行业采取积极措施消除 BadPower问题。小米 和 Anker也对这次研究工作做出了贡献，另在未来上市的快充产品中也会加入安全检测环节。 1.4.2原理简述 正常情况下，对不支持快充的受电设备，快充设备会默认对其提供 5V的供电电压。但通过改写快 充设备内控制供电行为的代码，就可以让快充设备对这些仅能接受 5V电压的受电设备输入最高 20V电 压 ,从而导致功率过载。即使对支持快充的受电设备，被控制后的恶意充电设备也可以在电力协商中告 诉受电设备自己将会提供 5V电压，但实际却提供 20V电压。所有存在 BadPower问题的产品都可通过 2020 物联网安全年报 8 2020 年重大物联网安全事件回顾 特制硬件进行攻击，其中有相当一部分也可通过支持快充协议的手机、平板电脑、笔记本电脑等普通终 端进行攻击。 通过特制硬件发起的 BadPower攻击过程如下： 1.攻击者用伪装成手机的特制设备连接充电器的充电口，入侵充电器内部固件。 2.当用户使用被入侵的充电器给其它设备充电时，充电器对受电设备进行功率过载攻击。 通过普通终端进行的 BadPower攻击过程如下： 1.攻击者通过某种方式入侵用户的手机、笔记本电脑等终端设备，在其中植入具有 BadPower攻 击能力的恶意程序，使该终端设备成为 BadPower的攻击代理。 2.当用户将终端设备连接充电器时，终端设备里的恶意程序入侵充电器内部固件。 3.当用户再次使用被入侵的充电器给设备充电时，充电器会对被受电设备进行功率过载攻击。 1.4.3事件分析 BadPower不是传统网络安全问题，虽然不会导致数据隐私泄露，但会给用户造成实实在在的财产 损失，甚至更糟糕的情况。 BadPower再次提醒我们，随着信息技术的发展，数字世界和物理世界之间 的界限正变得越来越模糊。之前我们知道工业控制系统、车联网系统的漏洞和威胁可能会影响物理世界， 但这些似乎距离大多数人比较遥远，但是其实像充电器这种人人都有、不起眼的小东西也可能打破数字 世界和物理世界之间的结界。 1.5特斯拉废弃零件泄露隐私，谁为用户隐私买单？ 1.5.1事件回顾 在使用特斯拉车载信息娱乐服务前，用户必须输入详细的个人信息，存储这些信息的媒体控制单元 或许正在成为用户隐私数据泄露的源头。 2020年 6月，国外黑客发现，从废弃的特斯拉媒体控制单元 （MCU ）中，能够获取到之前设备所有者的隐私信息。 1.5.2原理简述 据外媒报道，特斯拉服务中心清除废旧零部件之中的数据时，技术人员被告知要在零部件报废之前 2020 物联网安全年报 9 2020 年重大物联网安全事件回顾 进行物理损毁。特斯拉官方程序的要求是，在将拆下的媒体控制单元扔进垃圾桶之前，工作人员需要确 认接口是否被彻底毁坏。但是，用锤子敲击后的零部件外壳被损坏，内部的数据却未被破坏，依然能够 在线上出售。 国外黑客格林从购物网站 eBay上购买了一个废弃的媒体控制单元，这些零件在网上售卖的价格从 150美元、200 美元到 300美元、500 多美元不等。尽管这些废弃的零件已经被特斯拉技术人员手工销 毁，但它仍然留有大量用户隐私数据，包括手机通讯录、通话记录、日历项目、 WiFi密码、家庭住址、 导航去过的地点等。 1.5.3事件分析 随着汽车智能化、网联化技术快速深入发展，汽车内车机、控制器甚至是车外未来的基础设施以及 云端内个人隐私的数据会日益庞大，数据种类也会越来越多。这些数据带给我们安全驾驶以及出行便利 的同时，隐私泄露的风险也在加大。除了软硬件、云端方面的技术防护手段之外，隐私防护也需要标准、 法律、法规相配合，需要多方协同努力、长期研究。 1.6智能门锁暗藏的物联网安全危机 1.6.1事件回顾 在物联网时代，智能门锁的普及率已经越来越高了，但智能门锁真的的安全吗？ U-Tec UltraLoq是 众筹平台 Indiegogo 上的一款热门产品，现已在亚马逊等电商平台零售。这款锁拥有一些高级功能， 包括指纹读取器、反窥视触摸屏，以及通过蓝牙和 WiFi的 APP端控制等。 2020年 8月，Tripwire 的 研究人员 Craig Young发表了一篇博客，披露了其存在错误配置和其他安全问题，使得攻击者仅用一个 MAC地址就可以窃取解锁令牌 1011 。 1.6.2原理简述 Young首先在物联网搜索引擎 Shodan中搜索与 U-Tec和供应商使用 MQTT 相关的词条， MQTT 是 物联网设备中用于在节点之间发布 -订阅、交换数据的协议。例如，智能恒温器的传感器可以传输与特 定房间中的供热有关的数据，而智能锁可以使用 MQTT 记录用户及其访问活动，研究员发现 UltraLoq 智能锁使用邮箱和 mac地址连接 MQTT Brokers如 图 1.1 。 2020 物联网安全年报 10 2020 年重大物联网安全事件回顾 图 1.1使用邮箱和 mac 地址连接 MQTT Brokers 研究人员连接到智能锁 MQTT 服务端，在了一个包含 UltraLoq Amazon-hosted代理的主题名称 发现了客户 ID，于是他购买了一个相关型号的 UltraLoq智能锁，并监听其通过 MQTT 发送的消息。 Young发现了一个“在解锁过程中重复的消息流”，并且利用脚本重放该数据包，结果发现只需要知道 该设备的 MAC地址能打开智能锁，事实上，设备的 MAC地址在相关 MQTT主题中就可以轻松获取到。 2019年 11 月 10 日，Craig Young 向 U-Tec 告知他们的云服务给用户带来巨大安全风险，U-Tec 随 后做了相关的补救措施，包括：已关闭端口 1883，开启端口 8883 是经过身份验证的端口、已关闭未 经身份验证的用户访问等，但是这些措施实际上并没有完全解决问题。 Young再次发文表示，此次事件 的主要问题是 U-Tec专注于用户身份验证，但未能实现用户级访问控制，并且演示了匿名账户都可以与 任何其他用户的设备连接并交互，如 图 1.2 。 图 1.2使用 HTTP Canary 嗅探账号和密码 几天后， U-Tec宣布已经实现用户隔离，而 Craig Young也发现攻击者确实不能在 MQTT 的主题之 间发布消息了，但其实并没有完全解决该款智能门锁的安全问题。在 2019年 6月 Pen Test Partners报 2020 物联网安全年报 11 2020 年重大物联网安全事件回顾 道称，在 UltraLoq智能门锁中曾发现大量严重安全问题，涉案及 API、BLE 密钥、存储等多个层面的漏 洞 12 。 1.6.3事件分析 除了提到的智能门锁，其实每天都有大量没有进行安全测试的物联网设备上市或上线，消费者必须 意识到这个逐渐累积的风险。即使是门锁这样的关键安全系统，满足的网络安全规范和要求也很少，相 关安全监管更少。正如我们在 Mirai 和其他物联网僵尸网络中所看到的那样，互联网上的各类智能设备， 例如智能灯泡、智能冰箱、智能音箱、摄像头等，在发生故障或被大规模劫持时也会造成严重破坏，并 且目前的威胁或许只是冰山一角。 1.7蓝牙冒充攻击（BIAS ），无线安全不可忽视 1.7.1事件回顾 研究人员 Daniele Antonioli于 2020年 5月披露了一个蓝牙协议栈漏洞，攻击者可以利用这个漏洞 伪造并欺骗远程配对的蓝牙设备，其危害性影响数十亿蓝牙设备。 蓝牙协议被广泛应用于数十亿台设备中，其中包含了多种身份验证过程。两个蓝牙设备如果要建立 加密连接，则必须使用密钥互相配对。 在两个蓝牙设备成功配对之后，下一次 它们就能够不经过配对过程而重新连接。 BIAS攻击就是利用了这个特性。 1.7.2原理简述 假设 A与 B是两个曾经建立过连接 的正常蓝牙设备。假设攻击者的目标为 B，且攻击者知道 A的蓝牙 MAC地址。 则攻击者可以根据 A的 MAC 地址伪造 一个只支持单边认证的设备 A。如果攻 击成功， A就可以与 B设备建立连接， 并进行传输数据等操作。 图 1.3BIAS 攻击过程示例 2020 物联网安全年报 12 2020 年重大物联网安全事件回顾 图 1.3是攻击者通过伪造蓝牙 master设备发起的 BIAS攻击时的整个认证流程。受害者 Alice与 Bob是正常通信的两个设备，攻击者 Charlie伪造成 Bob向 Alice发起连接时，虽然攻击者不知道共享 密钥 KL，但从认证流程中我们可以看出，攻击者只需要接收 Alice根据 KL派生出的会话密钥 RS即可， Alice并没有对 Charlie设备的真实性进行验证。这就是 BIAS攻击所利用的协议栈弱点。 根据报告，此漏洞影响多种蓝牙设备，包括多款 iPhone、Macbook、iPad 的多个型号。 1.7.3事件分析 BIAS是第一个被披露的与蓝牙身份验证、连接降级相关的安全问题。因为蓝牙连接的建立不需要 用户交互，因此攻击非常隐蔽，危害性很大，尽管蓝牙 SIG小组已经更新蓝牙核心规范来缓解这一漏洞， 但用户仍需谨慎，并持续关注厂商是否推出固件或软件补丁等修复措施。 1.8DHDiscover ：可放大近 200 倍的新型反射攻击 1.8.1事件回顾 2020年 3月，腾讯发布了一篇关于某 DVR被用于反射攻击的文章 4 。在该次攻击事件中，攻击者 采用了一种新的 UDP反射攻击方法，利用的是某视频监控厂商的设备发现服务（因其探测报文中包含 DHDiscover字符串，因此，我们将其称之为 DHDiscover服务）。本次攻击流量规模超过 50Gbps，反 射源区域分布集中于美洲，亚洲，欧洲的众多国家和地区，尤其以韩国、巴西为重灾区。 1.8.2原理简述 类似 WS-Discovery服务， DHDiscover被用于局域网内的设备发现，但是因为设备厂商的设计不当， 当一个外部 IP地址发送服务发现单播报文时，设备也会对其进行回应，加之设备暴露在互联网上，则 可被攻击者用于 DDoS反射攻击。 DHDiscover服务对应的端口号为 37810。DHDiscover 服务探测报文 长度为 62字节，设备返回的内容中可以看到关于设备的很多信息，如 MAC地址、设备类型、设备型号、 HTTP Port、设备序列号、设备版本号等。 我们对 DHDiscover反