北卡罗来纳州立大学的研究人员发现了“智能家居”物联网(IoT)设备中的设计缺陷,这些设备允许第三方阻止设备共享信息。这些缺陷可用于防止安全系统发出闯入或上传入侵者视频的信号。
“物联网设备变得越来越普遍,人们期望它们可以为我们的安全和保障做出贡献,”发现论文的合着者,北卡罗来纳州计算机科学副教授威廉·恩克说。“但我们发现这些设备的设计存在广泛的缺陷,可能会阻止他们向房主通报问题或执行其他安全功能。”
“从本质上讲,设备的设计假设无线连接是安全的,不会中断 - 情况并非总是如此,”该论文的共同作者兼计算机科学助理教授Bradley Reaves说。北卡罗来纳州“但是,我们已经确定了可以解决这些漏洞的潜在解决方案。”
具体来说,研究人员发现,如果第三方可以破解家庭路由器 - 或者已经知道密码 - 他们可以将网络层抑制恶意软件上传到路由器。恶意软件允许设备上传其“心跳”信号,表示它们在线且功能正常 - 但它会阻止与安全相关的信号,例如激活运动传感器时。这些抑制攻击可以在现场或远程完成。
“这些攻击如此成问题的一个原因是系统告诉房主一切正常,无论家里发生了什么,”Enck说。
这些网络层抑制攻击是可能的,因为对于许多物联网设备,很容易将心跳信号与其他信号区分开来。并且解决该设计特征可能指向解决方案的方向。
“一个潜在的解决方案是使心跳信号与其他信号无法区分,因此恶意软件无法选择性地允许心跳信号通过,”该论文的第一作者,博士生TJ O'Connor说。NC州的学生。
“另一种方法是在心跳信号中加入更多信息,”奥康纳说。“例如,如果设备发送三个运动传感器警报,则后续心跳信号将包括注意到已发送三个传感器警报的数据。即使网络层抑制恶意软件阻止了传感器警报信号,系统也会看到心跳信号并且知道发送了三个传感器警报但未收到。这可能会触发房主的系统警告。“
“任何系统都不会是完美的,但鉴于物联网设备的广泛采用,我们认为提高设备设计人员可以用来减少攻击风险的对策意识非常重要,”Enck说。
该论文“盲目和困惑:揭示智能家居物联网设备遥测中的系统性缺陷”将于5月15日举行的第12届无线和移动网络安全和隐私会议(WiSec '19)上发布。 -17在佛罗里达州迈阿密。