University of Central Florida 2015 中国互联网安全大会 China Internet Security Conference 智能设备安全漏洞研究和防护 Smart vs. Security: IoT Security and Protections Yier Jin （金意儿） Department of Electrical Engineering and Computer Science（电子工程不计算机系） University of Central Florida（中佛罗里达大学） Security in Silicon Lab (SSL) yier.jin@eecs.ucf.edu 物联网和可穿戴设备 2015 中国互联网安全大会 China Internet Security Conference Assorted images found online. IoT Forecast 2015 中国互联网安全大会 China Internet Security Conference 2015 中国互联网安全大会 China Internet Security Conference 广告中的智能设备 • 能否也能考虑“安全”？ 无线连接 远程控制 大数据 云计算 随时 接入 机器学习 2015 中国互联网安全大会 China Internet Security Conference 安全 安全和隐私 • • 安全考量 – “ThingBot”: 至少75万封钓鱼和垃圾邮件从被感染的智能电视、 智能冰箱上被发送 – WeMo “Light Switch（智能开关）”固件可以被远程控制 隐私考虑 中国互联网安全大会 – 个人信息在用户丌知情情况下被大量收集 China Internet Security Conference – “个人大数据”包含太多个人信息 人身安全考虑 – 汽车的远程操控 (Charlie Miller and Chris Valasek) – 医疗器械包括医用注射仦包含可被远程控制的后门 (FDA) 国家战略安全 – 电网、工控等等 2015 因为对特定智能设备的攻击，使得工业级的危 • 害成为可能时，我们是否还对物联网设备的各 种安全隐患无动于衷呢？ • 案例分析 中国互联网安全大会 现有的智能设备到底有多（丌）安全？ 2015 China Internet Security Conference 电网 2015 中国互联网安全大会 China Internet Security Conference 汽车 2015 中国互联网安全大会 China Internet Security Conference 武器 2015 中国互联网安全大会 China Internet Security Conference 案例分析 – 来自演讲者的实验室 2015 中国互联网安全大会 现有的智能设备到底有多（丌）安全？ China Internet Security Conference Google Nest 智能温控器 • 功能 – 智能温控 • 设备漏洞 – 跳过固件检测直接安装任意用户文件系统 中国互联网安全大会 • 危害 China Internet Security Conference – 设备远程控制及隐私获取 2015 2015 中国互联网安全大会 China Internet Security Conference TrapX • ARP监听 – 控制Nest – 从其他联网设备中 收集用户数据 – 监听整个局域网 – 攻击局域网中其他 电脑和设备 2015 中国互联网安全大会 China Internet Security Conference 公司A - 烟雾报警器 • 功能 – 智能烟雾报警器 – 智能家居中的重要一环 • 设备漏洞 – 用户可以直接修改固件 • 危害 – 人身伤害 – 用户体验 2015 中国互联网安全大会 China Internet Security Conference 公司 B – 智能手环 • 功能 – 健康检测 • 无线芯片 • ARM核 • USB充电 • LED显示 • 蓝牙4.0和智能手机连接 • 设备漏洞 – 绕开固件完整性监测 – 吭动任意固件 • 危害 – 用户隐私泄露 2015 中国互联网安全大会 China Internet Security Conference Roku • 功能 – 流媒体电视 • 设备漏洞 中国互联网安全大会 – 吭动过程中包含Telnet链接 2015 – 加载用户U-Boot • 危害 – 用户可以获取root账号来执行任意命令 China Internet Security Conference Belkin Wemo • 功能 – 远程控制开关 • 设备漏洞 中国互联网安全大会 – 用户可以进入Root界面 2015 • 危害 – 连接到Wemo上的电子设备可以被远程 开和关 – 物理破坏 China Internet Security Conference Epson Artisan 700/800 • 功能 – 集成功能打印机 – 无线连接 • 设备漏洞 – 通过串口可获取root界面 – 用户可以接触到设备控制菜单 • 危害 – 信息泄露 2015 中国互联网安全大会 China Internet Security Conference Amazon Fire TV Stick • • • 功能 – 流媒体电视 – 包含HDMI接口 设备漏洞 – 用户可以获取root权限 危害 – 用户可以任意修改设备控制 2015 中国互联网安全大会 China Internet Security Conference