“OWASP 物联网项目”始于2014年,旨在帮助开发人员、制造商、企业和消费者在创建和使用物联网系统时做出更好的决策。OWASP 发布的 2018年 OWASP IoT Top 10,说明了在构建、部署或管理物联网系统时应该规避的十大问题。360代码卫士团队现编译如下:

(1)  弱密码、可猜测密码或硬编码密码

使用轻易可遭暴力破解的、可公开获取的或无法更改的凭证,包括固件或客户端软件中允许对已部署系统进行未经授权访问的后门。

(2)  不安全的网络服务

在设备本身运行的不必要的或不安全的网络服务,尤其是被暴露在互联网的、攻陷信息机密性、完整性/真实性或可用性或允许未授权远程控制的服务。

(3)  不安全的生态接口

设备外生态系统中不安全的 web、后端 API、云或移动接口,导致设备或相关组件遭攻陷。常见的问题包括缺乏认证/授权、缺乏加密或弱加密以及缺乏输入和输出过滤。

(4)  缺乏安全的更新机制

缺乏安全更新设备的能力,包括缺乏对设备固件的验证、缺乏不安全的交付(未加密的传输)、缺乏反回滚机制以及缺乏对更新的安全变更的通知。

(5)  使用不安全或已遭弃用的组件

使用已遭弃用的或不安全的导致设备遭攻陷的软件组件/库,包括操作系统平台的不安全定制以及使用来自受损供应链的第三方软件或硬件组件。

(6)  隐私保护不充分

不安全地、不当地、或未经授权使用存储在设备或生态系统中的用户个人信息。

(7)  不安全的数据传输和存储

缺乏对生态系统中任何位置的敏感数据进行加密或访问控制,包括未使用时、传输过程中或处理过程中的敏感数据。

(8)  缺乏设备管理

缺乏对部署在生产过程中的设备的安全支持,包括资产管理、更新管理、安全解除、系统监控和响应能力。

(9)  不安全的默认设置

设备或系统的默认设置不安全或缺乏通过限制操作者修改配置的方式让系统更加安全的能力。

(10)  缺乏物理加固措施

缺乏物理加固措施,导致潜在攻击者能够获取敏感信息以便后续进行远程攻击或对设备进行本地控制。

另外,OWASP 还更新了“物联网漏洞项目”,内容包括最严重的物联网漏洞信息、和漏洞相关联的攻击面以及对漏洞的概述。具体如下:

漏洞

攻击面

概述

用户名枚举

  • 管理接口

  • 设备 web 接口

  • 云接口

  • 移动应用程序

通过和认证机制交互收集合法用户名的能力

弱密码

  • 管理接口

  • 设备 web 接口

  • 云接口

  • 移动应用程序

  • 将账户密码设置为“1234”或”123456”等的能力

  • 使用预设的默认密码

账户锁定

  • 管理接口

  • 设备 web 接口

  • 云接口

  • 移动应用程序

登录尝试失败3到5次后,继续发送认证尝试的能力

未加密的服务

设备网络服务

网络设备加密不当,从而无法阻止攻击者进行窃听或篡改。

双因素认证

  • 管理接口

  • 云接口

  • 移动应用程序

缺乏双因素认证机制,如安全令牌或指纹扫描器

加密实现不良

设备网络服务

实现加密,然而加密配置不当或更新不当,如使用 SSL v2。

发送的更新未加密

更新机制

在未使用 TLS 或加密更新文件本身的情况下通过网络传输更新。

可写的更新位置

更新机制

更新文件的存储位置全局可写,导致固件被修改且向所有用户发送。

拒绝服务

设备网络服务

服务遭攻击,导致该服务或整台设备拒绝服务。

删除存储媒介

设备物理接口

从设备物理删除存储媒介的能力。

无手动更新机制

更新机制

无法手动强制对设备进行更新检查。

缺乏更新机制

更新机制

无法更新设备。

固件版本显示和/或最新更新日期

设备固件

未显示当前的固件版本和/或未显示最新的更新日期。

固件和存储提取

  • JTAG/SWD接口

  • In-Situ 转储

  • 拦截 OTA 更新

  • 从制造商网页下载

  • eMMC 窃听

  • 拆焊 SPI Flash/eMMC 芯片并在适配器中读取

固件中包含很多有用的信息,如源代码和运行服务的二进制、预设密码、ssh 密钥等。

操纵设备的代码执行流

  • JTAG/SWD接口

  • 侧信道攻击如噪声干扰

  • 借助 JTAG 适配器和 gdb,我们能够修改设备中的固件执行并绕过几乎所有基于安全控制的软件。

  • 侧信道攻击也能够修改执行流,或被用于泄露设备信息。

获取控制台访问权限

序列接口 (SPI/UART)

  • 通过连接至一个序列接口获取对设备控制台的完整访问权限。

  • 通常安全措施包括自定义引导加载,阻止攻击者进入单用户模式和,但这种措施也可被绕过。

不安全的第三方组件

软件

busybox、openssl、ssh、web 服务器的版本过时

本文由360代码卫士翻译自OWASP

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。