據外媒報道,由Noam Rotem和Ran Locar領導的網絡安全研究團隊發現了一個與Orvibo智能家居產品相關的公開數據庫,該數據庫中包含了超過20億條日誌,囊括了從用戶名、電子郵件地址、密碼到精確位置等內容,且只要數據庫保持開放狀態,每天可用的數據量就會不斷增加。
Orvibo是一家專注於智能家居產品和智能家居系統的創新型企業,公司總部位於深圳。Orvibo聲稱擁有百萬用戶,其中包括通過其智能家居設備連接到的家庭、酒店以及個人。一旦發生數據泄露,可能會影響到來自世界各地的用戶。據悉,在泄露的20億條日誌中已經找到了來自日本、泰國、美國、英國、墨西哥、法國、澳大利亞、巴西等多個國家和地區的用戶。
事件回溯
6月16日,網絡安全研究團隊向Orvibo發送了電子郵件,但是沒有收到任何回覆,之後又在Twitter上發佈推文提醒Orvibo,但是直到現在,都沒有收到Orvibo的回覆,且該數據庫也沒有關閉。
從公開的數據庫中,我們可以看到泄露的數據信息包括電子郵件地址、密碼、帳戶重置代碼、精確的地理定位、IP地址、用戶名、用戶身份、家庭ID、智能設備、訪問帳戶的設備和調度信息等。
需要注意的是,我們無需訪問電子郵件即可重置密碼,這意味着如果攻擊者先更改密碼,然後再改電子郵件地址就可以永久鎖定用戶賬戶。不過,Orvibo 在密碼存儲方面做了一些工作,密碼使用md5進行了哈希處理。
在某些用戶的條目中,它會準確顯示用戶在記錄數據時是連接的哪個設備。從Orvibo的網站介紹來看,HomeMate (中文名稱:智家365)是個完整的智能家居系統,全系列產品會連接到家庭,這意味着如果攻擊者利用此漏洞可以很輕易的攻擊用戶。
- 智能鏡子:包含了顯示天氣和時間表的功能,其中有個日誌是用來記錄用戶使用自定定義名稱設置,“Winter week AM”提供了有關用戶日曆的準確信息。
- 智能相機:該數據日誌中包括了連接到單個賬戶的大量設備,可以看到擁有Orvibo智能相機的用戶記錄;該數據日誌中還包括了一個單詞記錄的消息,似乎是用戶開啓了通過其帳戶顯示多人信息。
- massage room:這個標籤似乎是指向屬於企業的數據。
雖然並非是每個數據日誌都包含了各種類型的個人信息,但是當攻擊者擁有了超過20億條記錄,就能夠把足夠多的數據組合在一起,拼湊出完整的用戶身份信息。
如何避免出現類似Orvibo這樣的數據泄露呢?專家給出了三條切實的建議:
- 保護好服務器;
- 實施適當的訪問規則;
- 永遠不要將不需要身份驗證的系統留在互聯網上。
智能家居行業存在的數據泄露風險
隨着人工智能的發展和落地,越來越多的智能家居設備開始進入到尋常百姓家,據IDC預計,
到2020年物聯網市場規模將會突破7萬億美元,物聯網設備達到300億臺。智能家居在給我們帶來便利的同時,也給我們帶來了信息泄露的風險。
據國家計算機網絡應急技術處理協調中心的調查報告顯示:2018 年,CNVD 收錄的安全漏洞中關於聯網智能設備安全漏洞有 2244 個,同比增長 8.0%。這些安全漏洞涉及的類型主要包括設備信息泄露、權限繞過、遠程代碼執行、弱口令等;涉及的設備類型主要包括家用路由器、網絡攝像頭等。
根據工業互聯網安全應急響應中心發佈的《智能家居行業網絡安全風險分析報告》,智能家居的安全風險主要來自三個方面:智能設備、智能APP和智慧雲平臺。
智能設備風險:一是智能設備主要通過網絡遠程控制,常用的傳感通信技術包括WiFi、RFID、藍牙、ZigBee、NB-IoT、GPS等暴露了不同程度的安全問題;二是智能家居的硬件傳感器連接相對暴露,並且對訪問控制的強度不足;三是智能設備大多是基於linux Kernel 開發的,但Linux並不是針對此類終端設計的,所以適配智能設備之後會引發安全漏洞。另外,Linux自身存在的漏洞,由於智能設備更新週期長或缺乏固件更新功能,從而引發安全問題。
智能APP風險:智能家居APP存在的主要問題有兩個,一是APP開發時,安全方面設計的不全面,二是開發完成之後,可能未進行安全加固和審查。如果更具體的描述這些問題,表現爲:僞造應用、不安全的授權與數據通信及存儲、調試日誌信息泄露風險、源代碼反編譯風險和數據任意備份風險等。
智慧雲平颱風險:目前智慧雲服務器普遍採用開源框架或老版本的Web應用服務器,導致雲端的管理系統和數據Web接口存在着很多傳統Web的安全隱患。另外,有些智能家居廠商安全意識比較薄弱、對用戶隱私問題重視不夠,權限設置不嚴格,也會導致一系列風險問題,例如管理後臺與測試接口暴露、身份認證不足、暴力破解、Web典型漏洞等。
雲平臺成爲網絡攻擊的重災區
隨着雲計算的發展和企業遷移上雲,雲平臺也成爲了攻擊者的攻擊對象。據CNCERT 監測數據,雖然國內主流雲平臺使用的 IP 地址數量僅佔我國境內全部 IP 地址數量的 7.7%,但在各類型網絡安全事件數量中,雲平臺上的 DDoS 攻擊次數、被植入後門的網站數量、 被篡改網站數量均佔比超過 50%。
爲什麼攻擊者越來越多的通過雲平臺來進行攻擊呢?首先,爲了實現更好的性能和成本控制,越來越多的系統選擇上雲,其中不乏涉及大量企業運營數據、用戶個人信息的系統;其次,雲網絡流量複雜,便於攻擊者隱藏身份;最後,雲平臺用戶對其部署在雲平臺上系統的網絡安全防護沒有引起足夠的重視。
國內主流雲平臺上承載的惡意程序種類數量佔境內互聯網上承載的惡意程序 種類數量的 53.7%,木馬和殭屍網絡惡意程序控制端 IP 地址 數量佔境內全部惡意程序控制端 IP 地址數量的 59%。因此,雲廠商和用戶都要重視雲平臺的安全,於雲廠商來說,不僅要提供基礎性的網絡 全防護措施,還要提供雲平臺的安全性和可控性;於用戶來說,一定要重視部署在雲平臺上的系統安全,全面落實網絡安全防護要求。