物联网门锁 智能门锁暗藏的物联网安全危机

机械锁也许是我们日常生活中最基本、最具体、最熟悉的安全屏障。人们锁门，是希望这些锁能把坏人挡在门外，但安保行业有句老话:“防不住坏人”。在物联网的“智能锁”时代，情况变得更糟，因为解锁工具不是钩针，而是脚本和嗅探器。

近日，渗透测试专家Craig Young揭露了某品牌智能门锁漏洞背后隐藏的安全威胁:攻击者可以物理定位并远程控制任何连接到智能门锁供应商云基础设施的锁。安全牛编辑如下:

虽然本文介绍的漏洞已经修复，但此次渗透测试暴露了整个智能门锁行业乃至物联网领域存在的隐私和安全风险。本文旨在让人们了解和重新审视推动物联网的物联网设备和集中式云计算的安全问题和威胁。

Craig Young选择了市场上流行的一款智能门锁——U-TEC生产的UltraLoq智能门锁，与供应商的云基础设施相连。发现的服务配置错误等安全漏洞已于2019年11月初通知U-Tec。这项研究的重点是提供数据和控制的集中式云基础架构带来的风险。很多物联网应用场景，比如智慧城市、无人驾驶汽车等，都可能存在类似的风险。

U-Tec UltraLoq最初是众筹平台Indiegogo上的热门产品，通过亚马逊、家得宝、沃尔玛等主要零售商直接销售给消费者。这些锁具有一些高级功能，包括指纹识别器、防偷窥触摸屏以及通过蓝牙和WiFi控制应用程序。这些联网功能在带来极大便利的同时，也让一些用户对安全性感到不安。为了打消用户的后顾之忧，U-Tec网站上的一篇文章向用户保证“云服务器安全性强，用户数据已通过MD5算法加密”。

U-Tec智能门锁的渗透测试从Shodan开始，具体从Shodan的MQTT数据集开始。

首先，我们简单介绍一下MQTT的背景信息。

MQTT是一种轻量级的发布-订阅协议，其中消息代理负责协调连接节点之间的本地数据交换。MQTT的应用场景很多，比如空调优系统。想象一个暖通空调系统，它有多个温度传感器，可以数字控制风扇，还有一个监控应用程序，可以根据室温自动打开/关闭风扇。这些传感器和执行器是连接到MQTT代理的低功耗物联网组件。传感器发布数据，监控应用程序订阅这些数据并向执行器发送命令。

传感器的数据使用描述性和层次化的主题名称发布。例如，101室的恒温器将以“X楼/温度/1楼/101室”的格式发布数据。监控应用程序将订阅“建筑X/温度/#”。#作为通配符，允许应用程序接收所有房间的温度输入。

当部署MQTT时没有适当的身份验证和授权方案，将存在MQTT被滥用的风险。任何连接到代理的人都可以获得敏感数据，甚至控制动态系统。有权访问MQTT代理的未授权用户可以轻松猜测主题名称，并使用#订阅各种主题以获取传输代理的数据。

通过公共MQTT数据泄露的个人信息

Shodan的老玩家一直在使用这些通配符查询来收集公共互联网上暴露的MQTT代理的数据。虽然Shodan不存储扫描的个人消息，但它可以从83，000多个代理中检索主题名称。克雷格·杨测试了各种MQTT搜索词，看看有多少可以命中。有一个服务器引起了Craig Young的注意，因为它有大量包含MQTT主题名称的页面，这些名称在搜索中反复出现。相关信息包括“门锁”和免费电子邮件提供商，如“gmail.com”。

图1:亚马逊托管的代理和主题名称列表

这是亚马逊托管的代理和主题名称列表，包括个人电子邮件地址和其他数据，似乎与智能门锁有关。Craig Young使用Linux命令行工具查询服务器，立刻被来自世界各地的大量个人信息淹没。这些数据包括与智能门锁相关联的用户电子邮件和IP地址，以及智能门锁打开和关闭的时间戳记录。

下一步是通过购买ULTRALOQ智能门锁来测试问题。

与大多数智能门锁类似，ULTRALOQ智能门锁由电池供电，并与连接至WiFi的桥接设备保持蓝牙配对。拿到锁后，我把它和WiFi桥配对，听它通过MQTT发送的消息。

图2:确认服务器提供实时客户数据

经过几次锁定/解锁循环，我确认了解锁时的重复消息流。然后，我准备了一个Python脚本来重放这些消息，并确认这个方法可以锁定。

Craig Young发现，攻击者只需知道设备的MAC地址，就可以轻松窃取“解锁令牌”，批量或定点解锁智能门锁。

与MQTT数据相关联的电子邮件地址、本地MAC地址和公共IP地址都可以用于地理位置，这足以准确识别个人。该设备还向无线电范围内的任何人广播媒体访问控制地址。

这意味着匿名攻击者还可以收集任何活跃的U-Tec客户的详细身份信息，包括他们的电子邮件地址、IP地址和无线MAC地址。

这足以识别用户的个人身份和家庭地址。

如果此人已经使用U-Tec应用程序远程解锁了他的门，攻击者也将获得他的令牌并随时解锁门。

同样，攻击者可以通过发送欺骗信息进行破坏性攻击，阻止智能锁所有者解锁。

11月10日，Craig Young告知U-Tec，他们的云服务会给用户带来巨大的安全风险，U-Tec在10小时内做出回应，指出:

U-Tec智能门锁的设备端需要令牌授权，未经授权的用户将无法开门。

显然，U-Tec还是没有意识到真正的威胁，所以Craig Young向U-Tec提供了Shodan的截图，包括泄露的包含活跃客户电子邮件地址的MQTT主题名称列表。这一次，U-Tec在一天内做出回应，确认了威胁，并表示已采取补救措施:

1.端口1883已经关闭，端口8883是一个经过身份验证的端口。

2.未经身份验证的用户访问已被关闭。

3.一些规则已经添加到订阅和传递功能中，现在未经身份验证的用户不能订阅数据。

4.电子邮件问题将在下一个应用程序升级时修复。

不幸的是，这些措施并没有真正解决问题。这里的主要问题是U-Tec专注于用户认证，却无法实现用户级的访问控制。我演示了任何免费/匿名帐户都可以连接任何智能门锁用户的设备并与之交互。所有这些都需要嗅探应用程序的MQTT流量，以获取特定于设备的用户名和MD5摘要作为密码。

图3:使用HTTP Canary嗅探帐户密码。

U-Tec工程师沉默了几天，但随后宣布实现了用户隔离。克雷格·杨发现，攻击者无法再在账户之间发布消息。这次渗透测试发现的问题似乎已经解决了，但这可能只是开始。就在几个月前，Pen Test Partners报道，ULTRALOQ智能门锁发现了大量严重的安全问题，涉及API、BLE钥匙、存储等方面的漏洞。

智能门锁只是冰山一角:MQTT和物联网的安全隐患

自与U-Tec合作以来，Craig Young通过研究曝光的MQTT系统，发现了工业物联网网络的众多风险，包括车辆跟踪、出租车调度、抽奖亭、楼宇管理系统等。这些系统中有许多是由向客户提供服务的设备制造商操作的。在一个案例中，一家欧洲设备供应商负责监测他们出售给压缩天然气加气站的产品。在另一个案例中，一家教育服务提供商的网络泄露了个别学生何时到达和离开小学的详细信息。

每天都有大量的物联网设备未经安全测试就接入云端，消费者必须意识到这种累积的风险。我们要求高速公路上的车辆必须遵守安全标准，并通过排放测试，以确保环境安全，但信息高速公路上的互联网设备完全是违法的。

即使是门锁等钥匙安全系统，对产品网络安全的规范和要求也很少，安全监管也较少。正如我们在Mirai未来组合和其他物联网僵尸网络中看到的，互联网上的非关键设备，如智能灯泡、智能冰箱、智能扬声器、摄像头等。，当它们失效或被大规模劫持时也会造成严重的破坏。Mirai未来组合和其他僵尸网络“招募”了大量“肉鸡”设备，然后他们可以利用这些设备扰乱社会，勒索企业。这些僵尸网络已经证明可以产生令人难以置信的DDoS攻击流量，但与入侵和控制主流厂商的物联网云相比，目前的威胁只是冰山一角。