今天日本網(wǎng)絡(luò)安全公司趨勢科技發(fā)布了一份關(guān)于物聯(lián)網(wǎng)安全狀況的報(bào)告。該公司發(fā)現(xiàn)兩種領(lǐng)先的機(jī)器對機(jī)器(M2M)協(xié)議存在固有的設(shè)計(jì)問題,并且經(jīng)常以不安全的方式進(jìn)行部署。根據(jù)趨勢科技的報(bào)告“工業(yè)物聯(lián)網(wǎng)數(shù)據(jù)骨干的脆弱性”揭示了問題在于兩種流行的M2M協(xié)議,分別是消息隊(duì)列遙測傳輸協(xié)議(MQTT)和約束應(yīng)用協(xié)議(CoAP)。這兩種協(xié)議經(jīng)常用于物聯(lián)網(wǎng)設(shè)備,特別是在工業(yè)環(huán)境中使用的設(shè)備。
該報(bào)告由研究人員Federico Maggi和Rainer Vosseler撰寫,他們指出,使用簡單的關(guān)鍵字搜索,攻擊者能夠找到暴露的物聯(lián)網(wǎng)服務(wù)器和broker,并通過此暴露點(diǎn)可以泄漏超過2億條MQTT消息和1900萬條CoAP消息。然后攻擊者可以把拒絕服務(wù)攻擊和進(jìn)行針對性的攻擊作為武器來從事工業(yè)間諜活動。
趨勢科技在農(nóng)業(yè)和醫(yī)療保健領(lǐng)域找到了被暴露的信息。研究人員從智能農(nóng)場發(fā)現(xiàn)了4,310份與農(nóng)業(yè)有關(guān)的記錄。其他記錄包含救護(hù)車的準(zhǔn)確位置,以及附在患者身上的監(jiān)控設(shè)備的數(shù)據(jù) 和其相關(guān)聯(lián)的電子郵件地址和位置信息。在趨勢科技獲得的消息中,4,627,973個(gè)包含私有IP地址。其中219人擁有如12345這樣的高風(fēng)險(xiǎn)密碼。
物聯(lián)網(wǎng)安全
MQTT經(jīng)常在工業(yè)物聯(lián)網(wǎng)中使用,但研究人員報(bào)告說該協(xié)議也經(jīng)常用于群件工具和消息應(yīng)用程序,比如最著名的是Facebook Messenger。在進(jìn)行研究時(shí),趨勢科技在Android應(yīng)用程序Bizbox Alpha中發(fā)現(xiàn)了一個(gè)信息暴露的實(shí)例,該應(yīng)用程序在四個(gè)月內(nèi)泄露了55,475條消息。其中18,000封是電子郵件。
趨勢科技網(wǎng)絡(luò)安全副總裁Greg Young在一份聲明中說,“我們今天在物聯(lián)網(wǎng)設(shè)備中使用的兩種最普遍的消息傳遞協(xié)議中發(fā)現(xiàn)的問題,應(yīng)能督促相關(guān)組織對其OT環(huán)境的安全性進(jìn)行認(rèn)真且全面的審視。”
他補(bǔ)充道,“這些協(xié)議的設(shè)計(jì)并未考慮到安全性,這些問題都可以在應(yīng)用廣泛的關(guān)鍵任務(wù)環(huán)境和用例中找到。這代表了主要網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。擁有適度資源的黑客可以利用這些設(shè)計(jì)缺陷和漏洞進(jìn)行偵察,橫向移動,隱藏?cái)?shù)據(jù)竊取和拒絕服務(wù)攻擊。”
這是一個(gè)令人不安的消息。2017年估計(jì)安裝了價(jià)值84億美元的物聯(lián)網(wǎng)設(shè)備,我們幾乎可以肯定這只是觸及了安全噩夢的一角。為了減輕此威脅,趨勢科技建議相關(guān)組織刪除不必要的M2M服務(wù),同時(shí)監(jiān)控現(xiàn)有設(shè)備以確保它們不會泄露私人數(shù)據(jù)。