智能家居設備安全分析技術綜述
摘 要
隨著智能家居技術的廣泛應用,智能家居作為物聯網技術在家居領域的典型應用得到了迅速的發展。然而,智能家居設備中存在的安全缺陷將直接威脅用戶的隱私安全甚至是生命財產安全,因此,針對智能家居的安全分析技術逐漸成為當前研究熱點。在介紹了智能家居概念及其系統組成的基礎上,分析了智能家居系統安全需求、安全風險以及風險來源,從固件獲取及解析、靜態分析、動態分析以及同源性分析等方面介紹了智能家居設備安全分析常規的流程及方法。
2021 年,是我國物聯網發展史上具有里程碑意義的一年,據《2020—2021 中國物聯網發展年度報告》顯示,全球活躍物聯網連接設備量首次超越非物聯網設備,達到 117 億臺。隨著物聯網技術的發展以及伴隨著的物聯網設備量呈井噴式增長,物聯網技術逐步向各行各業滲透,產生了一系列新的概念,其中,智能家居作為物聯網技術在家庭環境中的典型應用,逐步進入大家的視野并在近幾年得到了迅速發展。
智能家居設備的出現,使得人們可以隨時隨地通過互聯網遠程控制智能家居設備,了解智能家居設備工作狀態,監控居家環境,為大家的居家生活增添了很大的便利,然而,智能家居設備所帶來的安全風險同樣不容忽視。智能家居設備的廣泛應用將互聯網中廣泛存在的一些安全風險引入到了原本私密且封閉的居家生活環境中,這也意味著智能家居設備將直面來自互聯網中的安全風險的挑戰。而安全舒適的居家環境作為大家日常生活中最根本的需求,必須得到保障。因此,如何保障智能家居設備的信息安全成為實現智能家居行業長足發展所面臨的一個重大障礙和考驗。
本文從智能家居設備安全分析以及防御的角度出發,梳理已有的研究工作,并對這一領域新的研究方向和趨勢進行初步的歸納和展望。
1 智能家居介紹
在國家標準 GB/T 35134—2017《物聯網智能家居 設備描述方法》中,將智能家居定義為:以住宅為平臺,融合建筑、網絡通信、智能家居設備、服務平臺,集系統、服務、管理為一體,其目的是為用戶提供高效、舒適、安全、便利的居住環境 。智能家居作為物聯網技術在家庭環境中的典型應用,是將物聯網技術融入傳統家居系統的成果。
從國家標準給出的定義可以看出,網絡通信、智能家居設備和服務平臺是構成智能家居的重要組成部分。智能家居系統組成如圖 1 所示。
圖 1 智能家居系統組成
智能家居主要通過網絡等通信技術手段控制智能家居設備,網絡的接入打破了傳統家居設備封閉的環境,給使用者遠程監視家居設備工作狀態、控制家居設備提供了通道,同時網絡的接入也為智能化的實現奠定了基礎。智能家居環境下,目前應用比較廣的網絡通信方式主要包括有線以及 Wi-Fi、藍牙、近場通信(Near Field Communication,NFC)、4G/5G 等無線通信方式。其中,以 Wi-Fi 為代表的無線通信方式憑借無需布線、接入便捷、技術成熟、兼容性強等優勢,成為智能家居中的主要網絡通信方式。
智能家居設備包括智能攝像頭、智能音箱、智能門鎖、智能開關等家居設備,這些設備通過接入網絡來實現智能化,最終由智能家居平臺進行統一管理。相較于傳統家居設備,智能家居設備最顯著的區別在于其具備了網絡接入能力,可以通過有線或者 Wi-Fi、4G/5G 等無線接入的方式接入互聯網。Wi-Fi 的接入需要依賴于無線路由器,無線路由器作為家庭內部網絡與互聯網的接口,在智能家居中扮演著重要的角色。
智能家居的智能不僅僅體現在遠程控制上,數據的分析處理及反饋才是更深層次智能化的體現,而這一功能依托于服務平臺實現。智能家居設備作為數據采集和執行的終端,將采集到的數據以及自身的狀態信息通過網絡上傳至服務平臺,在服務平臺上進行數據分析處理,進而獲取智能家居設備的行為模式等信息,控制命令作為智能家居的神經中樞,也是通過云平臺下發到智能設備,因此服務平臺是智能家居體系中不可或缺且非常重要的一部分 。
2 智能家居安全風險分析
隨著服務平臺的引進、網絡的接入以及家居設備功能的擴展,智能的概念被引入到家居領域。然而智能家居設備的大面積應用帶來了更高的信息安全風險,限制了智能家居的發展。
2.1 智能家居安全防護需求
區別于其他信息設備,智能家居的應用場景是私密的家庭環境,其目的是為用戶提供高效、舒適、安全、便利的居住環境,因此智能家居在信息安全防護方面有著較高的需求。結合信息系統安全層次劃分 ,智能家居安全防護需求主要體現在設備安全需求和數據安全需求兩個方面。
設備安全主要體現在設備的穩定性、可靠性、可用性 3 個方面,是智能家居系統安全的物質基礎。智能家居環境下的設備安全和家庭環境的物理安全有著緊密的聯系,例如智能空調可能會被隨意調節溫度,智能洗衣機被攻擊后連續高速運轉,這些都將對使用者的生命財產安全造成威脅,其中最典型的案例是智能門鎖,研究人員發現市面上部分智能門鎖存在安全漏洞,不通過預設的密碼或者指紋就能打開門鎖。
數據安全主要體現在數據的秘密性、完整性、可用性 3 個方面,大數據時代的來臨,使數據安全扮演著越來越重要的角色。特別是《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律文件的出臺,進一步明確了對各類數據的采集利用和全生命周期保護的必要性和迫切性,智能音箱、智能攝像頭作為家庭環境中隨處可見的數據采集設備,對數據安全保障的需求尤為迫切。
2.2 智能家居安全風險層次分析
作為物聯網在家庭環境的典型應用,智能家居系統體系架構和物聯網系統相同,自下而上劃分為感知層、網絡層和應用層 3 個層次。底層的感知層作為物聯網系統特有的層次,主要實現數據的感知采集以及數據處理后的反饋執行。網絡層主要實現數據、控制命令在設備間以及設備與服務平臺間的交互、傳輸,是智能家居系統互聯互通的管道。應用層的功能分為兩個方面,一方面是身份認證、數據存儲處理等通用的功能;另一方面與設備的具體業務高度關聯,主要實現設備業務數據的分析處理以及業務功能的控制。
(1)感知層安全風險分析。感知層作為智能家居系統與物理世界直接交互的接口,主要面臨智能家居設備硬件、操作系統 / 固件方面的威脅。硬件方面,一些智能家居設備暴露在公共場所中,例如智能攝像頭、智能門鈴等,攻擊者可以輕易接觸到這些設備,并通過設備上預留的一些硬件接口(如 USB、UART、JTAG 等)竊取設備中所存儲的隱私信息,更有甚者能利用這些硬件接口結合設備本身存在的一些缺陷(如弱口令等)篡改存儲在 flash 中的固件,植入后門,進而獲得設備的控制權。操作系統 / 固件方面,由于固件本身存在一些漏洞,攻擊者可以利用這些漏洞并借助網絡或者物理接觸的方式實現對設備功能的擾亂以及控制權的獲取。此外,設備在固件升級過程中缺乏校驗機制等一系列措施,使得攻擊者在此過程中可以通過網絡的方式植入含有木馬的固件。
(2)網絡層安全風險分析。網絡層在智能家居中起到類似神經中樞的作用,設備與設備之間,設備與服務平臺之間的互聯互通都依賴于網絡層的功能實現,因此,網絡層主要面臨網絡協議、認證機制以及通信流量方面的威脅。網絡協議方面,許多智能家居設備由于功耗體積的限制采用了一些物聯網特有的協議,與在長期的攻防博弈中完善了安全機制的通用互聯網協議不同,目前針對這些協議的安全研究還不夠充分,因此容易存在一些協議上的漏洞,攻擊者可以利用協議漏洞實現非法的網絡接入進而竊取、篡改數據,導致隱私數據泄露、控制擾亂。認證機制方面,一些服務平臺和設備身份認證機制不完善,采用的安全協議存在缺陷,訪問控制機制缺失,攻擊者可在較短時間內非法接入到服務平臺或者設備。通信流量方面,容易遭受拒絕服務攻擊,攻擊者通過控制大量的物聯網設備向目標設備發送龐大的超過目標設備處理能力的數據流量,導致目標設備網絡崩潰進而影響設備的正常使用。
(3)應用層安全風險分析。應用層主要是依靠豐富的應用程序向用戶提供相應的服務,因此,應用層主要面臨應用程序漏洞的威脅。在公開發布的漏洞中存在著大量與智能家居設備相關的漏洞,其中不乏應用程序方面的漏洞,例如,某款攝像頭中提供的實時流傳輸協議(Real Time Streaming Protocol,RTSP) 服 務 和 Web 服務的主程序名為 ipc_server,研究人員在對 ipc_server 進行分析時發現其中存在多個登錄繞過和緩沖區溢出漏洞,攻擊者利用這些漏洞可以實現對攝像頭的遠程控制 。
2.3 智能家居安全風險來源
相較于傳統家居設備,智能家居設備具有3 個最為顯著的特征,分別是網絡化、智能化和遠程控制,網絡化和智能化的實現依賴于智能化的設備、網絡的接入以及數據的采集處理。
如圖 2 所示,智能家居安全風險主要來源于網絡通信、服務平臺和智能設備 3 個方面。其中,網絡通信為網絡攻擊提供了入口,而網絡攻擊的主要目標是智能家居環境中的智能家居設備。服務平臺存在隱私數據泄露的風險,而作為數據采集和反饋執行的終端,智能家居設備的安全直接關乎智能家居系統的數據安全。
圖 2 智能家居安全風險
智能家居設備種類繁多,數量龐大。一方面,智能家居設備的功能多種多樣,功能的多樣性決定了設備所采用的硬件架構、操作系統以及相關通信控制協議的多樣性,因此針對智能家居設備的安全防護沒有通用的防護措施或者安全防護軟件。另一方面,智能攝像頭、無線路由器等智能家居設備通常需要長時間工作,并且很多例如智能掃地機器人等移動的智能家居設備采用電池供電的方式,因此智能家居設備往往有低功耗的需求,這也就導致設備本身計算資源和存儲資源極其有限,并且大部分資源及能耗都投入到設備的核心應用功能中,因此智能家居設備在安全防護及隱私保護方面投入的資源就非常有限。此外,智能家居設備上所搭載的嵌入式操作系統在設計之初并未將安全作為最重要的考慮因素,因此在設計層面也缺乏足夠多的安全防護方面的考慮。以上諸多原因導致智能家居設備成了安全漏洞的重災區。綜合對智能家居安全需求、風險分析和風險來源等方面進行分析,如圖 3 所示,在安全需求方面,設備安全是智能家居安全的基礎,也是數據安全實現的根本保障;在風險分析方面,因為設備的缺陷而引入的安全風險覆蓋智能家居系統感知層、網絡層、應用層 3 個層次;在風險來源方面,智能設備是安全漏洞的重災區,安全漏洞數量眾多。綜上所示,對智能家居設備安全分析的研究焦點主要集中在智能家居設備上。
圖 3 智能家居安全分析焦點
3 智能家居設備安全分析方法
智能家居設備典型軟硬件結構如圖 4 所示。智能家居設備核心功能主要依托設備固件實現。因此,智能家居設備安全分析的焦點也集中在針對智能家居設備固件的安全分析上。其安全分析方法和物聯網設備安全分析方法類似,可分為靜態分析技術、動態分析技術和同源性分析技術 3 種類型 。
圖 4 智能家居設備典型軟硬件結構
3.1 智能家居設備固件及其獲取方式
智能家居設備固件是運行在智能家居設備硬件系統上的軟件程序,通常燒寫在設備的只讀存儲器(Erasable Read-Only Memory,EROM)、電可擦除只讀存儲器(Electrically Erasable rogrammableRead Only Memory,EEPROM)或者閃存(Flash)上,由固件頭、固件主體以及其他附屬數據組成。
固件承載了設備的操作系統和相應的應用程序,依據設備搭載的操作系統,物聯網設備固件分為通用操作系統固件、實時操作系統固件和無操作系統固件 3 種類型。其中,第一類通用操作系統固件通常搭載裁剪后的 Linux 操作系統,這一類操作系統中通常使用一些輕量化的用戶環境,例如 BusyBox 和 uClibc 以節省硬件資源消耗,將更多的硬件資源留給應用程序以實現特定的功能,智能攝像頭、路由器以及智能電視機等設備對實時性要求不高,操作系統與硬件交互相對較多的設備通常搭載了這一類固件。第二類實時操作系統固件,搭載這一類固件的設備更加注重程序執行的實時性,通常采用VxWorks 等實時操作系統。這一類固件通常搭載對運算能力要求較低的、執行單一任務的設備上,例如智能開關、智能燈泡等。第三類無操作系統固件被稱為“monolithic firmware”[7],固件中不存在典型的操作系統結構,搭載這一類固件的設備通常基于一個控制循環以及外設觸發的中斷對外部事件進行處理。
固件作為智能家居設備安全分析的對象,獲取并解析固件是智能家居設備安全分析的第一步。智能家居設備固件一般可以通過以下 3種方式獲取。
(1)通過物理方式直接獲取。智能家居設備固件一般存儲在設備存儲芯片(通常為 flash芯片)上,因此可以根據相應存儲芯片的類型選擇對應燒寫器將固件讀出。這種方式的缺點在于需要將焊接在設備主板上的flash芯片取下,讀取固件后還需要將存儲芯片重新焊接到主板上,設備才能正常工作。由于存儲芯片體積較小、管腳較細,拆卸焊接過程中有可能會損壞存儲芯片。
相較于直接讀取存儲芯片的方式,通過調試接口獲取固件的方式不需要拆卸存儲芯片。由于 flash 芯片一般焊接在主板上,而主板上預留有調試接口,方便開發人員進行調試,并且出廠后多數設備會保留調試接口,其中比較典型的就是通用異步收發傳輸器(Universal Asynchronous Receiver/Transmitter,UART)接口。通過連接設備 UART 接口可以獲取設備的 root 權限,這種方式的缺點在于部分設備連接 UART 接口后需要登錄密碼方可獲取 root shell 權限。為了解決部分設備登錄密碼無法獲取的問題,在設備啟動過程中,通過 bootloader 階段的 shell 獲取設備的 root 權限進而將設備固件 dump 出。
(2)通過設備廠商獲取。例如一些路由器或者智能攝像頭廠商一般會在官網上提供固件下載鏈接,可以通過 Web 或者文件傳輸協議(File Transfer Protocol,FTP)的方式下載相應設備固件。針對一些設備廠商官網不提供下載鏈接的新推出的設備或者較早版本的固件,可以通過聯系售后服務顧問的方式獲取固件。
(3)通過偽造空中下載技術(Over-the Air Technology,OTA)方式獲取。許多智能家居設備廠商提供 OTA 升級服務,設備采用一定的數據格式和交互協議向廠商 OTA 服務后臺發起 OTA 更新請求,因此,可以通過分析設備與OTA 服務后臺交互的數據格式及交互協議來模擬真實設備的行為,向后臺請求更新服務并獲取設備固件。
3.2 靜態分析技術
靜態分析是指在設備程序不運行的情況下,針對靜態固件中二進制程序以及相關配置文件等文本文件的結構和功能信息進行分析,挖掘程序及相關文本文件在邏輯上、語法上的缺陷。如圖 5 所示,智能家居設備靜態分析過程一般包含以下幾個步驟。
圖 5 靜態分析步驟
(1)固件解析及程序提取。設備實現各種功能所依賴的全部可執行程序和配置文件信息都包含在文件系統中。這些信息對固件的分析至關重要。然而,不同的設備所使用的文件系統格式和文件系統的壓縮算法不盡相同,增加了文件系統提取的難度 。從固件中提取文件系統一般有兩種方式:手動提取和自動提取。在實際應用中,一般采用自動提取的方式,借助Binwalk 等自動解析工具,實現固件格式、文件系統和操作系統的識別與分離,以及文件系統解析和提取。此外,研究人員在 Binwalk 的基礎上,整合了其他固件解析工具,形成諸如 Firmware Mod-Kit 等工具集合,借助相應腳本實現了基于Linux 系統固件的自動化壓縮和解析。
(2)關鍵信息恢復。由于智能家居設備中固件程序通常是商業程序,很少有廠商公開源代碼和相關文檔,因此安全分析的目標大多是編譯后的二進制程序。需要借助交互式反匯編器專業版(Interactive Disassembler Professional,IDA Pro)等反編譯工具,將二進制代碼轉換成統一的中間語言——偽代碼。此外,借助 IDA Pro 等反編譯工具還能實現程序結構、函數調用關系、字符串引用、地址訪問等關鍵信息的解析和恢復。目前 IDA Pro 可以支持 x86、ARM、MIPS、PowerPC 等多種指令格式二進制匯編代碼的轉換,涵蓋大量智能家居設備的指令集。
美國國家安全局研究部門最近公開了一款名 為 Ghidra 的 軟 件 逆 向 工 程(Software Reverse Engineering,SRE)框架 [9],其功能和 IDA Pro 類似,優勢在于公開提供應用程序接口(Application Programming Interface,API),便于用戶開發自己的插件和腳本,并且相較于 IDA Pro,可以在不使用插件的前提下實現MIPS架構偽代碼的生成。
(3)脆弱性分析。相較于針對通用系統的分析,針對智能家居物聯網設備的程序分析更加關注特定的漏洞類型和功能模塊。在漏洞類型方面,更加關注驗證繞過漏洞、遠程代碼執行漏洞等能夠獲取 shell 權限的漏洞。在功能模塊方面,更加關注存在人機交互、輸入輸出的接口類應用程序,這一類程序中存在遠程代碼執行漏洞的概率相對較高。針對路由器、IP 攝像頭這一類家居設備,其安全缺陷存在的重災區就在設備的 Web 服務器程序上,在已經公開的 漏 洞 中, 例 如 CVE-2020-8863、CVE-2018-13313 等漏洞都來自設備的 Web 服務器程序。因此,在關鍵信息恢復的基礎上,對控制流圖中的指令進行語法分析和程序指令的語義分析,并聚焦于相關接口程序中輸入輸出函數以及system 函數等關鍵函數,分析其函數功能和執行邏輯,進而發掘存在的缺陷。此外,還可以借助符號執行技術等方式輔助靜態分析技術實現設備脆弱性的發掘。
3.3 動態分析技術
模糊測試技術作為一種高效的動態分析技術廣泛應用于智能家居設備的安全分析中,模糊測試一般步驟如圖 6 所示。
圖 6 模糊測試一般步驟
首先依據一定規則,針對特定測試對象自動化或者半自動化生成一系列測試數據,并將其作為目標程序的輸入,然后利用監視器監視目標程序運行狀況,在測試用例集較為龐大的時候,異常監視往往采用自動化的方法,例如基于調試的方法和插樁的方法。當監視器監測到程序執行異常時,往往需要人工的介入,針對發生異常的位置和原因進行人工分析,確定安全缺陷的存在。
根據程序執行反饋的獲取情況,可以將模糊測試分為黑盒測試、白盒測試和灰盒測試 。其中,黑盒測試的測試用例按照預先設定的測試規則生成,不受之前測試用例測試結果的影響,這一類測試工具的代表是 boofuzz 和 Peach。白盒測試與黑盒測試相反,測試過程中會對目標程序進行動態污點分析和符號執行以準確獲取程序的執行狀態,進而指導接下來測試用例的生成,這一類工具的代表是 IoTFuzzer。灰盒測試則介于黑盒測試和白盒測試之間,測試過程中,fuzz 程序會獲取部分程序執行的關鍵特征信息并影響接下來測試用例的生成,相較于完全獲取程序執行狀態,部分獲取關鍵執行信息的方式提升了模糊測試的效率,這一類工具的代表有 FirmAFL 和 FirmFuzz。
3.4 同源性分析技術
為了節省開發時間,提高產品研發效率,智能家居設備在研發過程中往往會在設備固件程序中復用大量第三方開源框架和組件,例如以LightHttpd 為代表的輕量化 Web 服務器框架在大量路由器以及智能攝像頭中被廣泛使用。因此,在智能家居設備中廣泛存在這種現象,在不同類型、不同功能、不同硬件架構的設備固件中存在著由相同或相似代碼段編譯而成的二進制程序。設想一下,如果在復用的這些源碼中存在著安全缺陷,那么其影響的覆蓋面將會擴大,在存在著相同代碼段的不同類型設備中也將存在相同的缺陷。因此,使用同源性分析技術能夠迅速發現在不同設備中存在著因相同缺陷代碼所引入的安全漏洞。目前,同源性分析技術主要分為基于二進制文件的粗粒度相似性對比和基于代碼片段細粒度相似性對比兩大類。具體分類及方法如圖 7 所示。
圖 7 同源性分析工具分類及方法
4 結 語
隨著智能家居設備的廣泛應用,越來越多的人享受到了智能家居所帶來的便利。與此同時,智能家居的安全也愈發引起了大家的重視,人們對智能家居安全的需求日益增加。本文在綜合分析智能家居系統組成及安全風險的基礎上總結了智能家居設備安全分析的一般流程及方法。
雖然目前針對智能家居設備安全分析技術的研究取得了一定成果,但是仍受以下 3 個方面因素的制約:智能家居設備種類眾多,核心功能各異,設備軟硬件架構差異較大,難以通過單一安全分析方法實現;研究工作開展時間較短,且研究目標技術體系更新較快,尚未形成完善的技術體系;現有安全分析方法智能化程度較低,分析效率有待提升。因此,智能家居設備安全分析技術在適應性、準確性和分析效率方面還有待進一步完善。
