• loccs@sjtu.edu.cn

ISC 2017主题报告:智能家居平台中的隐私与安全


LoCCS实验室关于智能家居平台中安全问题的研究工作受邀在2017年中国互联网安全大会(ISC)上做主题报告《智能家居平台中的隐私与安全》,刘慧博士和蔡洤朴赴北京国家会议中心参会,由刘慧博士主讲,引起了国内物联网安全行业相关从业人员的高度关注。报告和相关演示得到了良好的反响,会后立即得到了多家公司安全人员的重视与联系。随着相关研究在需求的进一步推动下的逐渐深入,LoCCS实验室愿意同相关的企业、行业人员开展更为深入的合作,共同推进相关研究,构建一个更为安全、可靠的物联网时代。

在当下物联网飞速发展的今天,许多公司都开发了自己的物联网设备。用户可以仅依靠自己手机中下载的APP,就可以实现在家中自由操控一些电子设备的功能。虽然这给人们带来了极大的便利,但在依靠简单易上手的开发工具来抢占物联网家居市场的同时,也不可避免的忽视了相关的安全问题。LoCCS软件安全小组在今年对市场上占有率较大的两家著名企业旗下的物联网设备作了细致的网络流量、固件SDK安全分析。总体而言,如今典型的智能家具平台的架构基本如下:

  • 三类实体: APP/智能音响、智能设备和云
  • 四种通信:设备初始设置、设备连入系统、设备本地控制和设备远程控制
  • 两个依赖:设备依赖平台提供SDK以及设备厂商依赖平台云管理

而相应地,当前主流的物联网设备也可能出现如下的安全和隐私问题:

  • 安全问题:身份认证(应用端接口、云端接口)、访问控制、通信安全和固件更新
  • 隐私问题:设备本地的信息泄露、平台云和第三方云的选用以及云的作用与端对端的加密

随着研究的深入,我们总结了这些物联网设备中存在的典型安全问题,包括设备配网过程中存在的身份认证信息泄漏问题,设备使用的私有化协议中存在的安全风险可导致如下一些攻击:

  • 通信解密
  • 设备劫持到该平台的其他用户账户
  • 设备劫持到攻击者控制的类平台
  • 欺骗平台:设备的存在性伪造

总体来说,通过对这些物联网设备的安全分析,我们发现大部分相关设备可能会被攻击者恶意控制、修改。

刘慧博士在进行物联网设备的破解视频演示

中国互联网安全大会(ISC)始办于2013年,今年已是第五届,引发了大众对互联网安全前所未有的关注热情;大会吸引了来自全球多个国家、多所知名大学和科研机构、多家安全厂商的著名安全研究专家与会,国际化水平之高、演讲嘉宾阵容之强大,成为亚太地区规格最高、规模最大、最具影响力的国际级安全盛会。今年的ISC在北京国家会议中心召开,会期三天,吸引了大量世界各地的安全研究者、工业界安全人员、在校学生参会。会议采取上午为主会场全体会议、下午为分会场安全论坛形式,既满足了人们对当下安全发展的一些大方向的一些认知需求、同时也让人们有自由选择感兴趣议题的机会,让每个参会者都受益良多。