返回新闻列表

攻陷起居室:卡巴斯基实验室研究人员在常用的联网家庭娱乐设备中发现多个漏洞

        常用的联网家庭娱乐设备存在真实的网络安全风险,这是由于其软件包含漏洞,本身亦缺乏基础的安全保护措施,例如没有高强度默认管理员密码和互联网连接加密。

        卡巴斯基实验室的安全分析专家David Jacoby在其自己家的起居室进行了一次研究型实验,旨在确认其家庭在网络安全状况如何。他检查了家用娱乐设备,例如网络附加存储(NAS)、智能电视、路由器和蓝光播放器等,想了解这些设备是否容易遭受网络攻击。而检查结果表明确实如此。

        卡巴斯基实验室安全专家分析了两款来自不同厂商的NAS模型、一款智能电视、一台卫星接收器以及一台联网打印机。根据David Jacoby的研究结果,他在网络附加存储设备上共发现14种漏洞,在智能电视上发现一种漏洞,在路由器上发现多个严重的潜在隐藏远程控制功能。

        根据责任信息披露政策,卡巴斯基实验室暂不能披露存在漏洞的产品供应商名称。其安全漏洞修补后,相关漏洞才会公布。我们已经将相关漏洞信息通告给所有相关产品供应商。卡巴斯基实验室的安全专家正在同这些厂商密切合作,消除我们所发现的安全漏洞。

        远程代码执行和弱密码:最严重的漏洞发现于网络附加存储设备中。有些漏洞允许攻击者以最高管理权限远程执行系统命令。受测试设备还使用强度很弱的默认密码,很多配置文件的权限错误,而且密码以明文形式保存。尤其是有一种设备的默认管理员密码竟然仅包含一位字符。另一种设备甚至将整个配置文件(包含加密密码)在网络内向所有人共享。

        使用不同的漏洞,研究人员可以将一个文件上传到普通用户无法访问的存储内存。如果上传的文件是恶意程序,那受感染设备就会成为一个感染源,任何连接到此NAS的设备都会感染,例如家用计算机。受感染的NAS甚至可以充当僵尸网络中的DDoS僵尸。不仅如此,由于漏洞允许将文件上传到设备文件系统的特殊部位,所以要清除感染,也智能使用同样的漏洞。很显然,这对于技术专家来说都不是一件易事,更别提普通的家用娱乐设备用户了。

        通过智能电视进行中间人攻击:在针对自己家的智能电视进行安全级别调查时,卡巴斯基实验室的研究人员发现电视和电视供应商服务器之间的通讯没有使用任何加密措施。这相当于开启了中间人攻击的大门,能够在用户通过电视购买内容时,将用户的资金转移给攻击者。做为概念验证,研究者还成功将智能电视图形界面上的图标替换成为图片。通常,这些桌面小工具和缩略图都从电视供应商的服务器下载。但由于连接没有加密,这些信息可以更改为第三方内容。研究人员还发现这款智能电视能够远程执行Java代码,这一漏洞同拦截电视和互联网之间数据流量交换结合起来,可能导致基于漏洞利用的恶意攻击。

        路由器的隐藏间谍功能:为用户家庭设备提供无线互联网接入的DSL路由器包含多个危险的隐藏功能,而设备用户通常并不知道。根据研究人员调查,有些隐藏功能可以为ISP(互联网服务提供商)在专用网络中提供远程访问。更为重要的是,根据调查结果,路由器的网页界面中包含一些被称为“网络摄像头”、“电话专家配置”、“访问控制”、“WAN检测”和“更新”设置选项,而这些功能对于设备用户来说是“不可见”和不可调节的。这些功能只能通过利用特定的漏洞进行访问,查看其选项界面(通常也是网页,但每个功能都具有自己的字母和数字地址),攻击者可以暴力尝试地址后的数字。

        原本,部署这些功能是为了方便设备制造商:远程访问功能可以让ISP快速和轻松地解决设备上的技术问题。但如果这些功能落入坏人之后,可能会造成安全风险。

        “个人用户和企业都需要了解联网设备存在的安全风险。我们还需要明白,我们的信息不会因为使用了高强度密码就变得绝对安全,因为还有很多因素我们无法控制。我仅花费了不到20分钟,就发现和确认了某些看似安全的设备中存在非常严重的漏洞,甚至有些设备还在名字中暗示了其安全性。如果类似的调查在更广的范围内开展,而不仅仅在我家的起居室进行,那结果将如何呢?这只是设备供应商、安全社区和这类设备用户在不远的将来亟须应对的众多问题之一。另一个重要的问题是设备的生命周期。根据设备供应商提供的信息,我们知道有些设备一旦生命周期终结,产品供应商就不会再为其开发安全补丁,所以无法修复设备中的漏洞。通常,某款设备的生命周期一般为一年或两年,但这些设备真正的使用周期则要比这长很多,例如NAS设备。不管从哪方面来看,这一策略都显得非常不公平” ,本次研究报告的作者David Jacoby说。

如何保护联网设备的安全

  • 不要让黑客轻松得逞:用户的所有设备都应该及时进行安全更新和固件更新,这将大大降低已知漏洞被利用的风险。
  • 一定要更改设备的默认用户名和密码,攻击者在试图控制您的设备时,首先会试验默认用户名和密码。
  • 大多数家用路由器和交换机均允许用户为每台设备设置自己的网络,用户可以利用多种不同的DMZ(为遭遇攻击风险较高的设备设置独立的网段)/VLAN(一种在同一个物理网络上实现不同逻辑网络间隔的机制),限制对设备的访问。例如,如果您有一台电视,可以限制对它的访问,并且仅允许电视访问网络内的特定资源。例如,您的打印机就完全没有理由访问电视机。

        请参见访问Securelist.com,浏览《物联网:我如何攻陷自己家的联网设备》的研究报告全文。