【更新】相关漏洞现已修补:Orvibo智能家居设备泄露用户信息
2019-07-03 11:07:37 Author: www.4hou.com(查看原文) 阅读量:93 收藏

更新:

嘶吼从Orvibo方面了解到,此次涉及到信息泄露的安全漏洞现已修复,并提高了对用户信息的保护等级,同时他们也希望和专业信息安全研究团队打成合作,一同保护物联网安全。

同时,vpnMentor的安全研究团队在博客中也进行了更新,已确认问题已修复。

下图为Orvibo方面的公告(英文)

微信图片_20190703162111.jpg

概述

近日,vpnMentor的研究团队发现Orvibo的用户数据库发生了数据泄露。由Noam Rotem和Ran Locar领导的网络安全研究团队发现了一个与Orvibo智能家居产品相关的开放式数据库。该数据库中包含超过20亿条日志,记录了包括用户名、电子邮件地址、密码、精确定位在内的所有内容。只要数据库保持打开状态,每天可用的数据量就会不断增加。Orvibo声称他们拥有大约一百万名用户,其中包括使用Orvibo智能家居设备的家庭、酒店和商业环境。该数据库的泄露,构成了对用户隐私和安全的巨大威胁,具有深远的影响。数据泄露事件将影响来自世界各地的用户,我们在日志中看到了来自中国、日本、泰国、美国、英国、墨西哥、法国、澳大利亚和巴西的用户。我们预计,在超过20亿的日志中,还有更多的用户。我们首先在6月16日通过电子邮件的方式尝试与Orvibo取得联系,后续的几天中没有收到回复,与此同时,我们还在Twitter上发布推文,提醒他们注意数据泄露的行为。然而,该企业仍然没有任何回应,同时也没有关闭数据泄露源。

泄密数据库中的具体内容

Orvibo服务器提供的数据量非常巨大,并且内容也非常具体,直接体现了该智能家居设备收集到的其用户的数据。根据该公司的宣传,有超过100万用户在家庭和企业中安装了Orvibo产品。这家总部位于深圳的公司生产100种不同型号的智能家居或智能自动化产品。在此次数据泄露中,包括如下数据:

1、电子邮件地址

2、密码

3、帐户重置代码

4、精确的地理定位

5、IP地址

6、用户名

7、用户ID

8、家庭名称

9、家庭ID

10、智能设备信息

11、访问帐户的设备类型

12、日程信息

1.png

在第一个示例中,我们可以看到Orvibo正在收集有关其用户的大量数据。在具体场景中,并非是所有数据点都被记录下来。但是,我们还在其他场景中发现了具体的地理数据、家庭名称、用户名、密码以及允许帐户接管的重置代码。

2.png

3.png

这些数据日志用于同一个帐户,我们可以使用匹配的电子邮件地址和用户ID来进行验证。在最一开始,我们只拥有电子邮件地址、IP地址和重置代码。通过在数据中访问此代码,攻击者就可以轻松禁止用户登录其拥有的帐户,在无需登录其电子邮箱的情况下就可以重置密码。该代码适用于希望重置其电子邮件地址或密码的用户,这意味着一个恶意攻击者可以通过首先更改密码,然后再更改电子邮件地址的方式,来永久锁定用户的帐户。Orvibo确实在密码安全性方面做出了一些努力,比如他们使用了MD5对密码进行哈希处理。

4.png

5.png

上面的示例中仅体现了我们所拥有的地理位置数据中一小部分样本。Orvibo会记录精确的经纬度坐标(即数据中的latotide)。坐标的精度可以将我们引导到用户的确切地址,这也表明其产品自身将会对用户位置进行跟踪,而不是根据IP地址来确定位置。

6.png

在某位墨西哥用户的数据中,会准确显示出用户在记录数据时连接到了哪个设备。根据Orvibo官方网站上面的描述,HomeMate是一个完整的智能家居系统,它使用全系列产品连接用户的整个家庭。其数据的数量也表明攻击者利用此漏洞时用户的易受攻击程度。

7.png

智能镜子是Orvibo的产品之一,该镜子能够显示天气和时间计划。我们发现了一个日志,记录用户使用自定义名称创建的时间计划。“Winter week AM”说明了有关用户日历的准确信息。

8.png

这里展现的是一个数据日志,其中包含与单个帐户相关联的大量设备。我们可以清晰地看出,该用户拥有一台Orvibo智能相机。此外,还有一个设备被命名为“massage room”(按摩室)。尽管并非所有设备名称都能告诉我们设备的位置,但如果攻击者希望,设备名称可能会帮助非法人员查明设备的具体位置,以方便攻击者后续发动攻击。并且,“massage room”这个名称也可能表明这些数据是来源于某个企业。

9.png

另一台智能相机设备的日志中,包含一个逐词记录的信息,这可能表明在用户资料中包含着更多的个人信息。但需要强调的是,并非每个数据日志中都包含所有类型的个人信息。尽管如此,即使有超过20亿条记录需要搜索,目前的信息也足够将一些线索组合在一起,并构成关于用户身份的完整内容。我们也在Orvibo的软件中发现了一些不一致的地方。大多数日志都是使用英语创建的,比如其中包含的地名。但是,我们还发现有一些日志中的国家和城市使用的是中文,而非应为。关于何时使用中文和英文,似乎没有统一的规律。

数据泄露造成的严重影响

这一量级的数据泄露会产生重大影响。在Orvibo产品目录中的每一台设备都会对用户的个人信息产生不同程度的负面影响。如果拥有大量关于用户的识别信息,可以将这些数据拼凑在一起,可能会定位到某位用户的家庭,也可能会导致进一步的黑客攻击。尽管Orvibo确实对密码进行了哈希加密,但在我们的测试过程中,我们发现通过碰撞的方式来反向查找到哈希值原文是非常容易的。我们根据一些用户的信息,找到了他们实际设置的密码原文,但根据另外一部分用户信息,则无法破解哈希值。

为了测试这一点,我们创建了自己的帐户,随后在数据库中搜索了我们的电子邮件地址,以查看可访问的帐户信息。尽管我们的密码是经过哈希处理的,但其值非常容易破解。假如Orvibo能在他们的散列密码中加盐,那么就会创建出一个更加复杂的字符串,这个字符串的破解难度将会更大。加盐的工作原理是在现有密码上添加一个随机字符串,然后对其进行哈希处理。由于盐是未知的,因此很难确定哪一段密码是真实的,哪一段是添加的字符串。由此可以看出,使用一个强度足够的密码至关重要,特别是在使用不确定安全性的设备时。

然而,即使用户使用了强密码,在Orvibo的数据库中也包含了一条危险的信息。在检查日志的过程中,我们在数据日志中找到了帐户重置代码。这些代码将会被发送给用户,以重置他们的密码或电子邮件地址。一旦黑客掌握这些信息,便可以在不需要密码的情况下获取用户帐户的权限,同时让合法用户无法登录。对于攻击者来说,更改密码和电子邮件地址的操作是不可恢复的。

Orvibo提供各种智能家居的解决方案,但在其中并不包括智能设备,然而,目前该厂商在市场上所拥有的产品仍然可能会造成许多危害。

例如,即使是智能插座,也有可能会被攻击者入侵,在用户不知情的情况下改变用户的能耗水平。另一种可能性是借助智能插头切断用户设备的电源,这可能会将用户置于黑暗之中。对于许多人来说,这也是一个危险的场景,如果发生在营业场所中,这样的事件可能会导致收入的损失。许多智能家居都是用这样的插座来节约电能。如果有攻击者在用户不知情的情况下更改插座的配置,可能会导致主设备(例如:烤箱)开启,并处于无人看管的加热状态。

智能灯开关的情况与之类似,尽管不必要的灯光可能不会造成灾难,但它可能会以容易忽视的方式增加能源消耗。由于这一配置更改不太明显,因此要捕捉这种行为难度也相对较大。

如果攻击者想要造成更大程度的影响,他们可以选择接管HVAC系统,该系统比电灯或电动窗帘要消耗更多的能量。即使该行为被迅速发现,快速地打开和关闭这些设备也会对电路和发动机造成损坏。

重要的是,Orvibo产品不仅仅在个人家庭的环境中使用,该厂商还同时为办公室环境和酒店环境提供不同的产品。改变办公楼或酒店的电力设置,将会产生更加显著的影响。对于小型企业来说,这样的改变将会很快影响到企业的利润,并且企业也会很难调查清楚其具体原因。

然而,Orvibo厂商还有其他一些设备的安全性较差,可能导致更加严重的后果。Orvibo提供的许多设备都属于“家庭安全”的范畴,包括智能锁、家庭安全摄像头、智能家居套件等。在攻击者掌握这些泄露的信息之后,这些设备将明显不再具有任何安全保障。即使仅仅安装了该厂商的一个设备,也可能会降低环境的物理安全性,而不是提高安全性。

在数据库中,具有对攻击者来说非常充分的信息,这将使得接管用户帐户的任务变得非常简单。恶意攻击者可以利用数据库中找到的凭据来登录合法用户的帐户,轻松访问Orvibo的一个智能摄像头的视频源。同时,在登录之后,解锁用户的大门就非常简单。再加之数据库中还包含精确的地理定位,这无疑为攻击者创造了一个相当便捷的条件。

除了智能锁和安全摄像头之外,该厂商还拥有智能镜子产品,其中内置天气显示和日历功能。正如我们在上文中的样例数据所看到的,一些用户会在镜子的日程中记录非常详细的信息。如果有攻击者想要收集潜在受害者的信息,他们完全可以先梳理泄露数据库中的时间安排信息,并找到所需内容。在数据库中,甚至可以查看到时间安排表的名称,以及具体时间记录,其中的时间精确到了秒。

Orvibo还生产另外两种家庭娱乐设备,一个是Magic Cube Wi-Fi控制器,另一个是ZigBee控制器。从最基本的层面来说,攻击者可以控制这些设备,以破坏用户的电视观看体验。但是,通过控制电视,攻击者可以进一步在特定时间打开电视并提高音量,从而对用户造成干扰。然而,当潜在受害者用户变为企业时,其影响程度将会大幅增长。攻击者可以使一组完全连接到网络中的智能家居产品断网,这将会直接导致收入损失,或使客户失去对企业的信赖。如果整个建筑物或整个住宅依靠这些设备来保证安全,那么断网就会使建筑完全不具备安全性。

物联网设备的安全性是一个日益严重的问题,这一点对于通过互联网连接彼此的所有智能设备来说都至关重要。作为一个新兴行业,厂商仍然需要致力于解决许多安全问题。然而,不仅仅是物联网设备自身,任何用户的虚拟帐户都可能会受到钓鱼邮件和数据泄露的威胁,这将会破坏用户的隐私。许多用户可能认为这些数据的泄露无关紧要,但其实不然,通过这些数据,可以对用户的日常生活习惯进行完整画像。

安全建议

我们建议Orvibo可以采取一些安全措施,从而防范攻击者的此类违规行为,具体包括:

1、对服务器增加安全防护;

2、实施适当的访问规则;

3、避免将任何无需身份验证的系统上线至互联网上。

数据泄露发现过程

我们在Web-Mapping的过程中发现了这一漏洞。我们的网络安全专家负责检查已知IP网段所使用的端口。借助这些信息,Noam和Ran可以搜索Web系统中的漏洞。在我们的团队发现泄露的数据之后,将使用专业的分析方法来确认数据库的归属。在找到数据泄露来源后,我们将联系数据库的所有者,提醒他们系统中存在漏洞。如果可能,我们还会联系所有受数据泄露影响的用户。我们这一项目的目标是为所有用户创造安全可靠的互联网环境。


文章来源: https://www.4hou.com/business/18933.html
如有侵权请联系:admin#unsafe.sh