基于Web攻击的方式发现并攻击物联网设备介绍

近二十年来,DNS重绑定(DNS rebinding)侵犯一直是评论的论题。虽然浏览器厂商做出了尽力,但仍然无法找到一个能安稳抵御这些侵犯的防护系统。听说这类问题八年前就现已被修正了。但是这类侵犯通过新的侵犯向量再次出现。

  总的来说,可以肯定未来的黑客活动将通过多个现有侵犯组合构成新的侵犯向量。这些新侵犯向量的一个很好的比如便是侵犯加密钱银钱包的DNS重绑定侵犯。

  在本文中,我们评论了Princeton(普林斯顿大学)和UC Berkeley(加州大学伯克利分校)关于根据web的方法侵犯物联网设备的研讨,这些侵犯会导致设备被黑客发现、侵犯和接收。研讨于2018年8月发表。

  设备与黑客发现和侵犯物联网设备的方法

  研讨人员的方针是检验15个物联网设备。这些设备中只要七台有本地HTTP服务器,所以研讨的要点放在它们上,它们包括:Google Chromecast、Google Home、一台智能电视、一个智能开关和三个摄像头。

  运用的侵犯方法是:

  诈骗受害人,诱导他们访问侵犯者控制的网站。

  在受害者的本地网络上发现物联网设备。

  通过根据web的侵犯控制设备。

  侵犯的继续时间

  从技术上讲,这不是新的侵犯向量。研讨陈述引用了之前的研讨,发现侵犯者运用这些侵犯向量均匀需求一分钟才干获得成果。奇怪的是,一项出名的研讨成果

  (What You Think You Know About the Web is Wrong)显示,55%的用户花在网站上的时间不超越15秒。看来大多数用户不会遭到物联网缝隙的影响。

  但是在普林斯顿大学和加州大学伯克利分校的研讨中,研讨人员明显缩短了侵犯的继续时间。研讨人员表示运用他们发现的方法,可以比之前的研讨更快地发现和访问本地网络中的设备。但是Chrome除外,因为它缓存DNS央求,假如TTL低于某个阈值,则疏忽TTL。需求留心的是,隔绝区(DMZ,防火墙内的内部网络)中的设备通常被以为是安全的,因为用户假定外部是无法访问这些设备的。但是,通过这里描绘的侵犯,侵犯者可以访问受害者内部网络中的浏览器。

  发现HTTP端点

  研讨人员通过将这些设备连接到Raspberry Pi的无线接入点来剖析这些设备。查询并剖析了从设备发送和接收的数据包,以及与每个设备绑定的移动运用发送和接收的数据包。通过剖析发现了35个GET央求端点和8个POST央求端点。这些端点用于辨认发现阶段中的IP地址。

  研讨的阶段

  研讨人员通过两个不同的阶段进行研讨,即发现阶段和接入阶段:

  发现阶段的方针是在本地网络上找到浏览器上包括HTML5元素的物联网设备。

  接入阶段的方针是运用DNS重绑定和已发现的IP地址访问HTTP端点。

  1. 发现阶段:辨认物联网设备

  运用WebRTC获取本地IP地址。

  通过81端口向IP规划内的全部IP地址发送央求。因为81端口通常不被占用,活动设备将当即照应一个TCP RST数据包。而对于IP规划内的非活动设备,央求数据包将超时。

  每个活动IP地址都接收到最初阶段运用HTML5为35个GET端点收集的央求。根据回来的过错消息信息,侵犯脚本将辨认IP地址是否与七个设备中的任意一个匹配。

  研讨计划运用三种不同的操作系统(Windows 10、MacOS和Ubuntu)和四种不同的浏览器(Chrome、Firefox、Safari、MicrosoftEdge)。然而只要Chrome和Firefox这两个浏览器适宜这项研讨。因此不运用Safari和Edge浏览器,因为根据(根据Web的方法对本地物联网设备的发现和控制的侵犯):

  在Safari上,全部的FETCH央求都超时了,导致侵犯脚本将全部IP地址辨以为不活动。而在Edge浏览器上,脚本可以运用FETCH央求正确辨认活动IP地址,但Edge没有公开具体的HTML5过错消息,所以侵犯脚本无法辨认Edge上的任何设备。

  2. 接入阶段:控制物联网设备

  受害者访问侵犯者控制的域名(domain.tld),浏览器履行在侵犯者站点上找到的歹意JavaScript代码。域名仍然解析为侵犯者的服务器IP。

  歹意脚本央求domain.tld上的另一个资源,该资源仅存在于侵犯者服务器上。

  假如受害者的本地DNS缓存仍然解析为侵犯者的远程IP,则对/hello.php的央求将回来字符串“hello”,并重复进程2。

  但是假如受害者缓存中的domain.tld过期,则将向侵犯者发送新的DNS查询。

  最终将回来从发现阶段中获得的本地IP,而不是侵犯者的远程IP,/hello.php不会运用字符串“hello”进行照应,而是运用不同的内容,如404过错,它告诉歹意脚本DNS重绑定侵犯现已成功。

  通过这次侵犯,歹意脚本绕过了浏览器同源战略(Same-Origin Policy),并获得了对运行在设备上的Web运用的访问权限。现在侵犯者现已可以在Google Chromecast、Google Home、智能电视和智能开关设备上履行重新发动或发动视频/音频文件。

  怎么防止针对物联网设备的DNS重绑定侵犯

  研讨人员称,用户、浏览器厂商、物联网厂商和DNS提供商需求采纳预防措施,以防止DNS重绑定侵犯。以下是研讨给出的一些措施:

  用户可以在浏览器上禁用WebRTC,并防止泄露私有IP。侵犯者将可以通过向私有IP规划内的全部*.1地址(路由器地址)发送央求来发现用户的私有IP。

  侵犯者假定全部物联网设备的IP规划与受害者的PC具有相同的IP规划。用户可以通过装备路由器的DHCP服务器,在另一个子网(如 /16)上分配IP地址。

  用户可以安装dnsmasq,通过从DNS照应中删去RFC 1918地址来防止DNS重绑定侵犯。用户还可以运用dnsmasq的OpenWRT路由器。

  物联网厂商可以在发送到Web接口的央求中控制Host标头。假如没有符合RFC 1918的私有IP,则可以阻遏访问。

  DNS提供商可以运用像dnswall这样的机制从DNS照应中挑选私有IP。

  浏览器厂商可以开发约束公网访问私有IP规划的扩展程序。