智能家居安全分析

趙俊++任姣姣

[摘 要]本文中介紹智能家居所使用的各種無(wú)線連接技術(shù)，如藍(lán)牙、WIFI、Zigbee等，分析所面臨的攻擊威脅、較明顯的安全風(fēng)險(xiǎn)，其中最大問(wèn)題是加密破解和重放攻擊，針對(duì)以上威脅從技術(shù)上提出優(yōu)化措施，消除安全隱患。

[關(guān)鍵詞]藍(lán)牙；WIFI；Zigbee；無(wú)線；安全；重放攻擊；

中圖分類號(hào)：TN784.2 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-914X（2016）18-0276-01

1.智能家居安全問(wèn)題

在今年的“3？15晚會(huì)”上，包括洗衣機(jī)、烤箱在內(nèi)的數(shù)款智能硬件被黑客現(xiàn)場(chǎng)“入侵”，演示著被不同程度破解的情況。世界級(jí)的黑客大賽GeekPwn5在今年5月12日落下帷幕，黑客輕松攻破了現(xiàn)在市面上的部分智能家居產(chǎn)品。包括國(guó)內(nèi)比較流行的路由器，無(wú)人機(jī)以及一些知名的保險(xiǎn)箱也被輕松攻破。

日本生產(chǎn)的一臺(tái)機(jī)器馬桶也曾被美國(guó)一家數(shù)據(jù)公司演示入侵，通過(guò)藍(lán)牙連接操縱馬桶蓋的開(kāi)啟和關(guān)閉，黑客甚至能讓馬桶向用戶下身噴射水流。諸如此類的例子還很多，曾經(jīng)在現(xiàn)場(chǎng)目睹黑客輕松入侵的觀眾，紛紛表示震驚。

廠商層面目前我國(guó)的智能家居行業(yè)存在一個(gè)顯著問(wèn)題：缺乏統(tǒng)一標(biāo)準(zhǔn)，廠商各自為政。很多智能家居產(chǎn)品的安全性能尚未完善就被推出市場(chǎng)，廠商只專注于消費(fèi)者的購(gòu)買(mǎi)行動(dòng)，卻忽略了背后存在的安全隱患。

2.相關(guān)技術(shù)安全分析

智能家居需要依靠網(wǎng)絡(luò)通信技術(shù)來(lái)聯(lián)通，常見(jiàn)的網(wǎng)絡(luò)通信技術(shù)包括：藍(lán)牙、WIFI、Zigbee。

2.1.藍(lán)牙安全

藍(lán)牙技術(shù)是一種尖端的開(kāi)放式無(wú)線通訊標(biāo)準(zhǔn)，使用全球通用的頻帶（2.4GHz），能夠在短距離范圍內(nèi)無(wú)線連接桌上型電腦與筆記本電腦、便攜設(shè)備、PDA、移動(dòng)電話、拍照手機(jī)、打印機(jī)、數(shù)碼相機(jī)、耳麥、鍵盤(pán)甚至是電腦鼠標(biāo)。

現(xiàn)有的BT攻擊工具中，有趣的工具有以下幾個(gè)：

1、atshell—通過(guò)curtain頻道打開(kāi)一個(gè)到BT目標(biāo)的連接

2、attest—與上一個(gè)類似，也會(huì)盲目嘗試檢索聯(lián)系人、電話等等

3、bluesnarfer —同上，但提供了更多選項(xiàng)

4、bt_dos—提供針對(duì)BT目標(biāo)的拒絕服務(wù)攻擊

記錄并重播一個(gè)iBeacon

1、從你的電腦開(kāi)始發(fā)送iBeacons：

# hciconfig hci0 leadv

# hciconfig hci0 noscan

# hcitool -i hci0 cmd 0x08 0x0008 1E 02 01 1A 1A FF 4C 00 02 15 E2 0A 39 F4 73 F5 4B C4 A1 2F 17 D1 AD 07 A9 61 00 00 00 00 C8 00

2、使用hackrf_transfer開(kāi)始記錄頻道37：

# hackrf_transfer -r ibeacon.raw -f 2402000000 -g 16 -l 32 -a 1 -s 8000000 -b 4000000

3、在你的iPhone或安卓設(shè)備上注意iBeacons（可以使用任何其他的iBeacon探測(cè)器），一旦在掃描器上看到了一個(gè)iBeacon，立即在hackrf_transfer上按CTRL-C并停止發(fā)送iBeacons：

# hciconfig hci0 noleadv

# hciconfig hci0 piscan

4、從HackRF上重播你的iBeacon：

# hackrf_transfer -t ibeacon.raw -f 2402000000 -x 47 -a 1 -s 8000000 -b 4000000

2.2. WIFI安全

Wi-Fi是一種無(wú)線局域網(wǎng)（WLAN）技術(shù)，使用2.4G UHF或5G SHF ISM 頻段，是當(dāng)今使用最廣的一種無(wú)線網(wǎng)絡(luò)傳輸技術(shù)。

目前常見(jiàn)有三種無(wú)線加密方式：

（1）WPA-PSK/WPA2-PSK加密方式是基于共享密鑰的WPA模式；

（2）WPA/WPA2加密方式是通過(guò)采用Radius服務(wù)器進(jìn)行身份認(rèn)證并得到密鑰的WPA或WPA2安全模式；

（3）WEP加密方式是一種基于對(duì)等模式的加密協(xié)議。

密鑰破解：

1、使用wifislax系統(tǒng)光盤(pán)啟動(dòng)；

2、使用其中minidwep-gtk軟件，配置加密方式（wep、wpa/wpa2），啟動(dòng)掃描以發(fā)現(xiàn)附近的wlan網(wǎng)絡(luò)；

3、選中一個(gè)wlan目標(biāo)，啟動(dòng)抓包、破解；

4、對(duì)于WPA/WPA2，在抓到握手包后，使用EWSA軟件加載該握手包及密碼字典進(jìn)行破解。

一般情況下，若工具能破解出密碼，說(shuō)明該加密方式不安全或者密碼設(shè)置不夠復(fù)雜。

2.3. Zigbee安全

ZigBee是基于IEEE802.15.4標(biāo)準(zhǔn)的低功耗局域網(wǎng)協(xié)議，其在MAC層實(shí)施安全機(jī)制，應(yīng)用通過(guò)在協(xié)議棧中設(shè)置恰當(dāng)?shù)膮?shù)表明采用了何種安全級(jí)，默認(rèn)設(shè)備沒(méi)有采用安全措施，規(guī)范沒(méi)有考慮確認(rèn)包的安全問(wèn)題。可以使用以下工具對(duì)Zigbee網(wǎng)絡(luò)進(jìn)行攻擊：

1、使用zbstumbler進(jìn)行掃描，發(fā)現(xiàn)ZigBee網(wǎng)絡(luò)；

2、使用Daintree或zbdump對(duì)進(jìn)行數(shù)據(jù)包竊聽(tīng)；

3、使用zbreplay對(duì)捕獲的數(shù)據(jù)包進(jìn)行重放攻擊；

4、使用zbdsniff進(jìn)行加密攻擊，以發(fā)現(xiàn)網(wǎng)絡(luò)密鑰；

5、使用如zbfind確定ZigBee設(shè)備的物理位置，以便開(kāi)展物理攻擊；

6、使用zbgoodfind攻擊GoodFET數(shù)據(jù)內(nèi)存轉(zhuǎn)儲(chǔ)文件，以破解出網(wǎng)絡(luò)密鑰。

7、使用破解出來(lái)的網(wǎng)絡(luò)密鑰接入到目標(biāo)ZigBee網(wǎng)絡(luò)，開(kāi)展網(wǎng)內(nèi)的滲透測(cè)試。

3. 問(wèn)題分析及改進(jìn)

智能家居在使用各種無(wú)線技術(shù)的情況下，主要的兩個(gè)安全問(wèn)題就是：加密和防重放。

加密的包括token，控制指令，數(shù)據(jù)等。 token相當(dāng)于控制設(shè)備的鑰匙，每當(dāng)要操作設(shè)備時(shí)，都需要核實(shí)token，token在手機(jī)和設(shè)備之間傳遞時(shí)是通過(guò)秘鑰加密過(guò)的，所以就算別人截獲了，如果不知道秘鑰和加密算法也無(wú)法破解。

另一個(gè)是防重放，總體來(lái)說(shuō)，都是數(shù)據(jù)中帶有一個(gè)序號(hào)，這個(gè)序號(hào)有一個(gè)有效窗口，在這個(gè)有效窗口內(nèi)的請(qǐng)求被認(rèn)為是有效的，否則認(rèn)為是無(wú)效的。序號(hào)通常有三種：

1. 時(shí)間戳

時(shí)間戳（timestamp）是標(biāo)識(shí)某一時(shí)間的一串字符或編碼序列，用于提供時(shí)間證明。時(shí)間戳一詞來(lái)源于橡膠郵戳，用于印章當(dāng)前日期、時(shí)間，有時(shí)也用于記錄文件生效的時(shí)間。分為可信時(shí)間戳和非可信時(shí)間戳。

在通信過(guò)程中使用時(shí)間戳，并且在下次請(qǐng)求的時(shí)間戳必須和上次請(qǐng)求有一個(gè)時(shí)間差，比如大于5s，否則認(rèn)為是重放。這個(gè)窗口不能設(shè)置的太小了，太小了防重放就沒(méi)有作用，太大了會(huì)導(dǎo)致正常的網(wǎng)絡(luò)請(qǐng)求被屏蔽。

2. 遞增序列

每次操作都遞增序列號(hào)，如果收到的序列號(hào)沒(méi)有遞增，則丟棄。比如手機(jī)遙控電視，手機(jī)每發(fā)出一次指令，序列號(hào)就加一，電視會(huì)保存這個(gè)序列號(hào)，但是遙控器不能每次發(fā)指令都保存序列號(hào)，因?yàn)橐‰姡⑶襢lash的寫(xiě)次數(shù)是有限制的，所以要隔一個(gè)周期寫(xiě)入，比如滿100寫(xiě)入一次。如果中途設(shè)備斷電導(dǎo)致序列號(hào)丟失了，則下次上電時(shí)需要加上一個(gè)周期。

3.隨機(jī)序列

隨機(jī)序列在密碼技術(shù)中是非常重要的，比如密鑰產(chǎn)生、數(shù)字簽名、身份認(rèn)證和眾多的密碼學(xué)協(xié)議等都要用到隨機(jī)序列。

每次通信都生成一個(gè)隨機(jī)數(shù)，服務(wù)端會(huì)將最近一段時(shí)間收到的序列號(hào)保存下來(lái)，如果發(fā)現(xiàn)收到的序列號(hào)已經(jīng)存在了就認(rèn)為是重放，因?yàn)槭请S機(jī)數(shù)，所以碰撞的概率極小。

作者簡(jiǎn)介：

第一作者，趙俊，男，1984年出生，2009年畢業(yè)于吉林大學(xué)通信工程學(xué)院，通信與信息系統(tǒng)專業(yè)，碩士學(xué)位，現(xiàn)任職于廣東移動(dòng)信息安全保障部，從事信息安全技術(shù)管理工作。第二作者，任姣姣，女，1982年出生，2009年畢業(yè)于吉林大學(xué)通信工程學(xué)院，信號(hào)與信息處理專業(yè)，碩士學(xué)位，現(xiàn)任職于廣東移動(dòng)網(wǎng)絡(luò)管理中心，從事大數(shù)據(jù)系統(tǒng)建設(shè)及安全工作。