|
随着物联网(Internet of Things)在电子产品行业卷起的新浪潮,智能可穿戴设备在未来会变得越来越普遍。当消费者和厂商看好可穿戴设备的未来,企盼它们能够给日常生活带来便利的同时,它们的安全性同样值得我们关注。在本文中,我们将从理论上探讨针对可穿戴设备的攻击和其可能带来的风险。我们的目的不是吓唬用户不去使用这些设备,而是希望厂商能够更加重视安全性。
我们可以将市面上的可穿戴设备分为3类:
1.输入设备。
指那些随时记录用户数据的传感器。这些设备用于测量用户的步数、行走距离、卡路里、心跳、GPS坐标等信息。这些信息通常存储在本地,随后与手机或PC进行数据同步再将数据上传到用户的云端帐户,用于对所有历史记录并进行统计。在未来可能会出现的此类设备甚至可以监测健康参数,如用户的体温、血氧含量等信息。
2.输出设备。
此类设备会输出来自其它设备(通常是手机)的数据。比如智能手表一类的产品,它们能够方便地显示文本信息和应用数据。显示的数据通常来自网络资源。
3.输入和输出混合设备。
指既能采集数据,又能对数据作过滤处理并显示出来的设备。比如谷歌眼镜:有摄像头可以捕获实景,并且能通过视网膜投影装置将数据输出给用户。在实景上叠加数字信息提升了用户体验。相对简单的设备还包括可以收集用户数据(步数,行走距离等)然后将流数据反馈在配套手机上的产品。
从安全角度来看,很难说以上哪类产品更安全。这是因为其中的差异主要取决于攻击方式。设备功能越多,被用来进行攻击的手段也就越多。在这种情况下,“输入和输出混合设备”类型受到攻击的可能最大。但是,这并不意味着它们就不安全。对于新产品,攻击者需要花较长的时间来对它们进行测试。然而,随着产品的日趋成熟,攻击者逐渐理解掌握了设备内部工作原理后,新平台就会变得不那么安全了。下面来讨论一下针对可穿戴设备的各类攻击方式。
我们将针对可穿戴设备的攻击类型分为3类:
1.用户危害低,但是可操作性高的攻击
这种攻击最容易得逞,但对可以利用的应用产品类型限制最大。攻击者通过入侵云服务供应商访问存储在云端的数据。由于用户帐户大多都是由单一的认证方式(如密码)来进行保护的,攻击者会尝试利用网站的“忘记密码”机制,使用键盘记录木马,或利用其它途径泄漏的信息来猜解密码,甚至是暴力破解用户账户。
一旦用户帐户被攻破,攻击者就能看到可穿戴设备上的数据,了解更详细的用户信息,从而对他们有针对性地发送垃圾邮件。这并不是一件新鲜事:2011年,比特币交易网站MtGox遭遇了数据泄露,其用户就收到了针对性的金融服务垃圾邮件。作为比特币的用户,垃圾邮件发送者认为他们会更有可能相信金融相关的诈骗,而不是对减肥产品感兴趣。
这种类型的攻击者具有制作恶意软件的能力,主要利润来自于垃圾邮件/广告。或是之后将泄漏的数据贩卖给他人而从中获利。
2.用户危害和可操作性都是中等的攻击
这些攻击更危险且相对容易实现,但对用户的影响相对有限。在这种情况下,攻击者可以先入侵中间设备并获得原始数据。攻击也可以在网络和物理设备间充当“中间人”的角色,篡改网络间的传输数据。
做到这一点最简单的方法是让受害者安装被木马化的硬件供应商提供的应用。现在已经有很多在安卓移动设备上安装流氓应用的方法。大多数攻击者利用第三方应用商店来做到这一点。
此类攻击者会搜索到受害者更完整的数据,从而选定适合受害者去安装的应用。例如,恶意软件可以先通过查找谷歌眼镜的应用,利用它来随时确定用户的所在位置。然后恶意软件就会下载新的恶意程序,它们会进行基于用户的地理位置的点击欺诈。
另一个例子是一个应用会查找“输入”型可穿戴设备,并利用它们来了解用户的健康状态。接着,推送给用户的广告就会被劫持,修改成更“适合”用户的广告(如附近的健身房,蛋白质饮料或减肥药),这些广告都是根据被盗的健康数据来进行推送的。
还有一种可能的情况是,恶意软件会检测显示在谷歌眼镜上的信息,并将它们替换成广告、垃圾邮件或任何其它内容。
此类攻击者通过垃圾邮件/广告获利,也有可能进行点击欺诈。这类攻击范围大,没有特定的目标。
3.用户危害高,可操作性低的攻击
这类攻击危害性最大,但发生概率最低。如果攻击者成功入侵了可穿戴设备的硬件或网络协议,他们就有机会在“输入”型设备上获得原始数据,也能在“输出”型设备上显示任意内容。
该类型的攻击范围包括了从个人数据窃取到对相机设备实体的破坏。此类攻击会对佩戴者带来不利,甚至影响到他们的日常生活。还会对在专业领域使用的设备产生重大影响:一个简单的拒绝服务攻击(DoS)可以阻止医生做手术或阻止执法人员采集输入数据来追捕罪犯。
这些设备最常用的协议就是蓝牙。蓝牙是一个类似Wi-fi的短距离无线协议,但与Wi-fi有很多差异。Wi-fi使用了“接入点”的概念,而蓝牙就像一个终端到终端的通信。通过蓝牙使两个设备对话需要先将两个设备配对。在这个配对过程中设备需交换加密密钥并用于两个设备之间的通信。另一个和Wi-fi的区别是,蓝牙通过从一个频段跳跃至另一个频段来减少无线电干扰。
这种类型的机制对想要攻破蓝牙的攻击者提出了两个难题。一是攻击者需要获取首次配对设备时交换的加密密钥,不然之后的通信对入侵者来说就是一堆噪音。二是DoS攻击需要在大范围频率里广播噪音,虽然不是毫无可能成功,但和其它无线协议相比要困难许多。
此类攻击是可能成功的,但相对于前两种类型的攻击可能性要低得多。攻击者需要在物理上接近目标设备,这缩小了攻击目标的范围,也增加了攻击的难度。这类攻击可能是具有高度针对性的攻击。此类攻击的范围很窄:并非以金钱为目的而且具有高度的针对性。
假设在最极端的情况下设备被最终攻破,那么攻击者将能够通过控制被入侵的设备来进行其它的攻击。一旦攻击者获得完全控制权限,至少能用设备来访问网页。这可以使攻击者利用广告或其它任何网页来进行点击欺诈,甚至对其它系统发起DoS攻击。此类攻击的发起者需要掌握在特定设备上执行代码的能力,所以将此类攻击归于最不可能发生的类型。
从应用层面进行的攻击
另一种可能针对可穿戴设备的攻击是对应用层面的攻击和劫持流向云端的数据。攻击者可能会执行以下操作:
n
窃听本地应用发出的信息。
n
窃取存储在移动设备中数据。
我们对一些产品进行测试来查看这种攻击的可能性。无论是Fitbit手环和Pebble智能手表的都使用了SSL(HTTPS)加密会话,同时它们也会检查远程站点的SSL证书。因此,通过使用自签名的证书进行欺骗的手段是行不通的。由于这些应用不会受中间人攻击影响,在传送到云端的过程中信息是受到保护的。当然,如果其它厂商的产品没有此类保护方式,这种攻击手段就会得逞。
新的设备,新的可能
新设备给攻击者带来了更多新的可能性。虽然我们提出的场景可能并不会全部出现,但其中一些攻击是很容易发生的。我们认为安全研究人员需要考虑这些新的攻击途径,对这些目前为止还是概念性的攻击做好准备并探索改进方案。
更多信息:
http://blog.trendmicro.com/trendlabs-security-intelligence/the-security-implications-of-wearables-part-1/
http://blog.trendmicro.com/trendlabs-security-intelligence/the-security-implications-of-wearables-part-2/
http://blog.trendmicro.com/trendlabs-security-intelligence/the-security-implications-of-wearables-part-3/
|
