NO.61 | 2019.11.29
banner
title有備而來 友善列印>>
資訊安全對智慧家庭的衝擊_資通安全組 曾昭銘工程師

一、前言

  隨著IoT普及,越來越多家庭開始購入家用聯網設備,例如:智慧家庭、智慧空調、冰箱、電視等,甚至連門鎖與居家保全系統也都「智慧化」,儼然每家每戶都成了獨樹一格的智慧生態系,本篇探討家庭用戶開始智慧化後,傳統資訊安全威脅如何衝擊使用智慧家用設備的家庭,威脅輕則惡作劇,重責危害家庭的生命財產安全。

二、智慧家庭的資安威脅

  家用智慧設備,大多為感測或遙控裝置,舉例來說:空氣淨化器,或智慧家用空調,這些裝置能夠收集住家中的空氣品質,回傳到服務商之雲端伺服器,再轉傳給住家使用者,藉由客觀的數據資訊,讓使用者決定是否需要開啟設備,達到更舒適的居住體驗。本篇所探討的資安威脅,以危害財產安全之「直接威脅」為出發點,提出2種智慧家庭場域的攻擊情境,此情境都為示範情境,占整體生命財產侵害的進程屬於前期步驟,真正造成危害的後期階段是「實體入侵」,本篇將著墨在前期的資安威脅為主。

三、情境1:無線監視器

  隨著在外租屋的比例增加,對於正在租賃的公寓或是房屋,需多人會選擇裝設智慧監控設備。智慧攝影機除了監視功能外,還可以針對動作感應,發出告警,透過網路直接傳遞訊息給使用者,讓使用者在外時,也可同時留意住家的安全。現在的智慧監視器也便民,幾乎都有內建無線網路模組(Wi-Fi)、影片儲存於雲端的機制,讓大眾在裝設的同時,不需另外施工拉線與購買監控主機。但攻擊者也看上這點,簡易的攻擊就能夠癱瘓整個監控機制,利於攻擊者入侵住家造成財物損失,意即資安攻擊與實體滲透是為相輔相成的。

  此攻擊路徑模擬攻擊者的實體位置在智慧家庭場域外圍,藉由無線網路但不入侵內網的狀況下,以癱瘓家中安控監視設備為切入點,攻擊路徑示意圖如圖1所示。
 

圖1:攻擊路徑示意圖
(圖片來源:本中心分析整理)

階段一:鎖定目標

  本篇使用開源的滲透測試平臺Kali Linux,攻擊模具為aircrack-tools(無線破解工具),攻擊者可藉由地理位置(訊號強度定位等)鎖定某特定智慧家庭場域Wi-Fi閘道器。本篇鎖定的Wi-Fi閘道器目標為SSID:SuperEdge_2.4G,如圖2所示。
 

圖2:透過aircrack-tools工具掃描Wi-Fi基地台
(圖片來源:本中心分析整理)

  透過偵測指令找出所有連接該Wi-Fi閘道器的MAC位址(如圖3),攻擊者可針對MAC位址進行設備資訊列舉,圖4列出其他聯網的資訊設備,如:手機、平板、筆電,惟XX:XX:DC開頭的MAC位址比較有趣。
 

圖3:透過aircrack-tools工具掃描Wi-Fi基地台
(圖片來源:本中心分析整理)
 

圖4:透過aircrack-tools工具掃描Wi-Fi基地台
(圖片來源:本中心分析整理)

  我們針對MAC的設備商進行搜尋,發現XX:XX:DC對應至某廠牌製造商,因此大略猜測此環境中的智慧聯網設備為該牌設備,如圖5所示。
 

圖5:透過aircrack-tools工具掃描Wi-Fi基地台
(圖片來源:本中心分析整理)

階段二:發動攻擊

  針對該場域收集的資料完善後,準備執行阻斷服務攻擊(Denial of Service Attack,DoS)。透過攻擊指令可阻斷該智慧聯網設備與Wi-Fi閘道器的無線訊號,如圖6所示。
 

圖6:阻斷智慧聯網設備服務
(圖片來源:本中心分析整理)

階段三:設備斷線

  會針對此設備發動攻擊的攻擊者,我們預設對方也會購買相關的設備回來研究,其實可以很輕易發現,在攻擊後已無法與雲端平臺連線,信號無法傳送、呈現離線等無畫面。原始的監控畫面(左)可以錄影、控制攝影機的鏡頭位置,在信號被攻擊後(右),畫面直接阻斷,資料無法連回雲端平臺,動作告警也無法發出,如圖7所示。
 

圖7:智慧聯網設備無法提供服務
(圖片來源:本中心分析整理)

四、情境 2:智慧居家安控系統

  某大廠製作了智慧家庭的保全系統,範圍涵蓋門鎖、門窗感應器、警報器,家用監視系統等設備。在智慧化的步調下,原本使用類比訊號的設備,經過廠商的巧思,也都大整合,進階成數位信號的IP based設備,方便使用者與管理人員使用,但也降低攻擊者入侵的難度。下面的圖例分成四個階段,各階段皆會再分成細部圖文說明。

  此攻擊路徑模擬攻擊者的實體位置在智慧家庭場域外圍,如圖 8 所示。以無線網路為切入點,本篇使用開源滲透測試平臺 Kali Linux,攻擊模具為 Wifite(wep、wpa破解)、nmap(網路探測)、Metasploit(滲透測試)與 wireshark(封包側錄)等。
 

圖8:智慧家庭場域攻擊途徑
(圖片來源:本中心分析整理)

階段一:鎖定目標

  攻擊者藉由地理位置(訊號強度定位等)鎖定攻擊的目標為某廠牌的Wi-Fi閘道器,如圖9所示。
 

圖9:鎖定 Wi-Fi 無線基地台
(圖片來源:本中心分析整理)

  針對該場域中的WPA進行handshake劫持,如圖10所示。
 

圖10:錄製封包進行Handshake劫持
(圖片來源:本中心分析整理)

  藉由執行字典檔破解以發現其WPA認證密碼(如圖11),攻擊者於連結此智慧家庭場域的Wi-Fi無線基地台後,取得內網 IP。
 

圖11:執行字典檔密碼破解
(圖片來源:本中心分析整理)

階段二:內網偵蒐

  攻擊者取得內網權限後,針對內網狀態進行設備偵蒐,透過Nmap網路探測工具可發現相關IoT設備(192.168.55.100、2192.168.55.100.41)、內網所使用之無線路由器(192.168.55.1)及其他相關的資訊設備,如圖12與圖13所示。
 

圖12:執行內網偵蒐 (192.168.55.1)
(圖片來源:本中心分析整理)
 

圖13:某廠牌 Wi-Fi 無線基地台管理介面
(圖片來源:本中心分析整理)

  針對192.168.55.100確認開啟連接埠,並了解該設備為安控攝影機,但需要帳號密碼才可以登入操控,無法直接使用,如圖14與圖15所示。
 

圖14:執行內網偵蒐(192.168.55.100)
(圖片來源:本中心分析整理)
 

圖15:智慧居家安控攝影機管理介面
(圖片來源:本中心分析整理)

  針對192.168.55.241確認開啟連接埠,並了解該設備為控制智慧家電的ZigBee Gateway,如圖16與圖17所示,但需要帳號密碼才可以登入操控,無法直接使用。
 

圖16:執行內網偵蒐 (192.168.55.241)
(圖片來源:本中心分析整理)
 

圖17:智慧居家安控ZigBee Gateway管理介面
(圖片來源:本中心分析整理)

階段三:攔截網路流量

  在ZigBee Gateway管理介面發現,需要密碼登入操控的認證為http-basic-authentication(網頁認證機制),攻擊者可於內網發動中間人攻擊,攔截其帳號密碼。設定ARP-spoofing(ARP欺騙),擷取Router與ZigBee Gateway之間的網路流量。本機 192.168.55.2(攻擊者)執行監聽,攔截192.168.55.241(ZigBee Gateway)與192.168.55.1(Router)之間的網路傳輸流量,如圖18與圖19所示。
 

圖18:準備ARP-spoofing攻擊工具
(圖片來源:本中心分析整理)
 

圖19:執行ARP-spoofing攻擊
(圖片來源:本中心分析整理)

  從網路流量中可發現,有使用者192.168.55.9登入192.168.55.241(ZigBee Gateway),並使用預設的帳號密碼,如圖20所示。
 

圖20:網路封包發現ZigBee Gateway登入帳號密碼
(圖片來源:本中心分析整理)

階段四:取得控制權

  攻擊者可以藉由中間人攻擊攔截到的帳號密碼,登入ZigBee Gateway的安控系統取得主控權,對住家場域進行實體入侵,如:關閉IP-Cam、門窗磁簧開關甚至開啟連結Gateway的智慧門鎖後,執行實體竊盜,如圖21所示。
 

圖21:取得ZigBee Gateway安控系統主控權
(圖片來源:本中心分析整理)

五、總結

  在智慧裝置場域中,有弱點的其實不僅為協定本身,更為設備間串接後的設定。當智慧裝置還只是傳送感測數據時,對用戶本身並無直接資安威脅,其威脅可能只被當作C&C(命令暨控制伺服器、中繼站)、跳板,或是遭惡作劇等。但智慧裝置後期,結合安控與監視系統時,建議應重新思考其中的安全標準與影響的層級,在先進科技便民的背後,反而可能藉由傳統的資安威脅,對智慧家庭場域或其使用者造成更大的危害。