智能门铃成“偷听设备”?上海市消保委发布智能家居“黑客攻击”测试报告
2022年03月23日10:20 来源:中国消费者报
智能门铃成“偷听设备”?智能家居真的安全吗?3月15日,上海市消费者权益保护委员会发布智能家居“黑客攻击”测试报告。报告显示,测试的部分产品存在安全漏洞,消费者个人信息易泄露。
2021年11月至2022年2月,上海市消保委联合第三方专业机构开展了智能家居设备安全性能测试,在各主流电商平台上选取了A、B、C、D、E、F6款搜索排名靠前的智能门铃和门禁产品,并对其APP、小程序、web后台、教程等功能进行测试。其中A、B、C3款品牌为智能门铃,D、E、F3款品牌为智能门禁。
测试结果显示:部分产品存在安全漏洞。其中,B品牌有2个高危漏洞,1个中危漏洞。C品牌有1个中危漏洞。而D品牌有4个高危漏洞,2个中危漏洞。E品牌有1个中危漏洞。F品牌有1个高危漏洞,1个中危漏洞。
测试显示,攻击者可以通过抓包软件绕过认证,获取服务端或客户端的大量信息。消费者个人信息遭到泄露。如D品牌、F品牌等存在认证绕过漏洞,攻击者可以将提交到服务端的验证数据包进行抓取,然后对其暴力破解,就能绕开认证并查看到服务端存储的大量用户信息,也可以在客户端进行抓包并修改回应包,看到用户个人信息。
D品牌漏洞测试详情:打开抓包软件,即可看到用户手机号,姓名,年龄,公司住址等信息。
F品牌漏洞测试详情:登录小程序,抓取设备界面数据包,发现有一个未加密显示手机号的数据包。通过修改手机号,可越权查看他人所拥有的设备。
攻击者可以通过简单粗暴的“抓包”加暴力破解弱密码,利用漏洞组合获取用户的账号和密码,登录后获得他人摄像头、麦克风等权限,可以自由调取录像,甚至听取房间家庭成员间的交谈。消费者的隐私难以保障。如在测试B品牌时,攻击者先通过“抓包”,挖掘出用户手机号码。如果该用户密码设置过于简单,比如默认密码或是简单的数字密码,攻击者继而暴力破解,对密码逐个推算,反复试错,得到相应的密码,登录后窃取用户隐私。
B品牌漏洞测试详情:进入平台社区交流界面,可看到经过*号处理过的手机号,抓包查看返回包,即可得到该用户手机号码。再暴力破解获得弱密码,成功登录,并可以查看相关重要信息。
攻击者可以利用应用程序传参验证过滤不严,在后台不知情的条件下实现非法授权和操作,导致攻击者构造的数据库代码被后台执行。攻击者可以未经授权访问数据库,结合其他漏洞实现远程开电子门锁等功能,消费者居家安全面临风险。如D品牌设备的管理后台存在3处该漏洞。同时,该设备的开门小程序也存在缺陷,简单重复此开门包,攻击者就能实现远程任意开门。
D品牌漏洞测试详情:第一处:通过ascii来爆破数据库用户的第一个字符,漏洞参数是login_account;第二处:使用user()可直接获取数据库用户名;第三处:尝试使用相关工具可直接注入出目标数据库的所有消息。
此外,这些设备还存在中间人攻击、存储型XSS、文件上传等漏洞,而且不少产品属于相同设备代工生产,同质化情况较为严重。
据上海市消保委介绍,虽然本次模拟黑客攻击的测试针对的是智能门铃和智能门禁类产品,但智能化家电家居设备在底层技术、通用硬件、数据后台等方面有高度的类同性。专家组判断,市场上相当比例的智能家居产品信息安全水平普遍较低,对于消费者隐私存着较大风险。