智能家居身份和劫持危害-Paper-Seebug.pdfVIP

《智能家居安全——身份劫持》 ——作者：挽秋(daizy) 1、概要 本文以如何劫持(窃取)智能家居时代设备的身份“安全凭证”为出发点，调研并分析了目 前国内市场的主流产品和设备交互协议，及其所依赖身份凭证，通过介绍、分析和发现设备 交互控制协议安全性，最终通过身份劫持，实现相关设备和产品的任意远程控制。 2、智能家居身份和劫持危害 先通过一张简图来了解一下应用、智能设备和云端三者交互时携带的身份标识，如图2.1 所示： 图2.1：智能家居设备交互时携带的身份标识 从上图了解到，智能家居身份标识通常是以下几种情况： 1）账号cookie 相关，如身份Token ； 2 ）用户id：userid 3 ）设备id：deviceid 4 ）认证或加密的key 一旦用户或设备的身份被劫持，那么至少存在如下几方面危害： 1）个人信息，聊天内容等隐私敏感信息泄露 2 ）智能设备被任意控制 3 ）财产损失 4 ）随时被监控 以智能音箱和智能插座等设备为例，至少有两个环节设计“身份”相关： 1）账号同步 2 ）设备交互操作 下面将分别介绍如何在这两个环节进行身份劫持。 3、账号同步 账号同步是指，在智能设备在初次激活使用(或更改绑定用户时)，用户将自己的身份信 息同步给设备，并绑定设备。 一个简化的账号同步流程，如图3.1 所示： 1.设备id或key 3.携带Token等信息进行请求 APP 设备 4.返回结果 2.用户身份(token)、wifi密码 Server 图3.1：账号同步 账号同步通常会存在如下两类问题： 1）设备是否合法：验证设备id 还是设备key？id 和key 都很容易泄露伪造。 2 ）账号Token 如何安全传输：设备此时为入网，通过蓝牙、AP ，还是其他何种方式传 输账号信息。 账号同步时身份劫持 以厂商A 音箱的配网和身份账号同步为例，其账号同步分为两种方式： 1）直接通过UDP 广播55:50000,发送userid、token 和wifi 的ssid 和wifi 密 码。 2 ）将userid、token 、ssid 和wifi 密码等转化成语音播放，音箱进行语音信息识别即可。 关于两种模式的选择：由本地 sharedPreferences 文件(tg_app_env.xml) 中的 app_connect_mode 属性值决定，其账号同步代码如图3.2 所示： 图3.2：厂商A 音箱的账号同步 厂商A 的音箱将身份信息，通过固定“协议”的格式，在UDP55:50000 端 口进行身份信息发送，攻击者可以监听UDP50000 端口，从而获取用户的userid 和token ， 窃取身份凭据；语音发送也是按照同一套固定的“协议”格式发送。协议格式通过破解后如 图3.3 所示： 厂商A音箱的身份信息广播格式，该byte数组一共有4个子数组，从左到 右分别是：userid、token、ssid和password相关 Byte0 Byte1 Byte2 Byte3 Byte4 Byte5 Byte6 Byte... Byten 整个 Userid Token SSID数 Pwd数