2019年,互联网正在向物联网升级,从路由器、语音音箱、到智能家电、工业设备等等,越来越多的实体物品注入互联网元素。迅猛发展的物联网,带来越来越便捷的生活,但其中的安全隐患和漏洞也如影随形,消费者常常在不知道不觉中,就被窃取了个人隐私。
如果你还没有意识到物联网漏洞的严重性,Checkmarx亲测了一款物联网设备:智能秤,该产品通过蓝牙连接其他设备,可自动获取人体参数,并分析体重、体脂和其他数据参数。为此,我们检测了其在蓝牙及移动应用程序(Android和iOS)的安全性,而测试结果,一定让你出乎意料。
测试结果:
Checkmarx安全研究小组用静态应用程序安全测试工具CxSAST,开源软件以及其他自家的工具对三个产品进行了安全漏洞检测,发现了一系列缺陷。这些安全问题对使用者,相关应用程序以及公司本身的客户都有一定影响。
根据CVSS3的安全问题评分标准,我们发现四个“中等”严重等级的漏洞,以及可能被黑客攻击的情景。
AEG智能秤中的硬件设置中的立即警报项中存在漏洞,攻击者可能通过BLE(低功耗蓝牙)触发特殊请求传送到设备上,导致智能设备崩溃,令用户的智能设备丢失大量信息。同时用户还可能无法关闭自己的设备,必须取出电池或者等到设备电量耗尽。
通用属性配置文件(GATT)的配置中,详细建立了如何通过BLE连接交换所有配置文件和用户数据。GATT配置保持MAC地址固定,这意味着蓝牙范围内的攻击者可以跟踪受害用户。
攻击者在BLE范围内,可能会将设备名称改为令人反感的东西,甚至欺骗无辜的用户。此外,它还可用于更好地识别特定设备,以帮助将此攻击与其他攻击相结合。
移动应用程序发出的一些请求不使用 HTTPS,这可能允许恶意用户拦截移动应用程序和主机之间发送的信息。 Checkmarx安全研究小组曾建议该类蓝牙智能秤推出修补程序,以防止恶意用户损坏硬件,但没有得到任何回应。同时,我们不建议使用安卓和iOS的智能秤APP,这两个应用程序所需的权限超出了智能秤所需的权限,并且不安全地与第三方客户端共享私人数据。 从以上测试可以看出,物联网设备的隐私安全堪忧,物联网设备及其附带的应用程序必须具有更高的标准。
Checkmarx 的AppSec Accelerator,可帮助您简化和自动处理您的应用安全测试流程,并将其嵌入您的开发环境。我们的应用安全专家团队随时待命,确保您成功转换为安全 SDLC。若将CxSAST 和CxIAST 结合在一起,可以实现全安全覆盖。  
|
