Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

首届DEF CON China唯一IoT安全演讲,GoSSIP持续助力智能设备安全

2018年5月11日-13日,世界顶级网络安全大会DEF CON China在北京召开。作为第一次在神州大地举行的全球顶级安全盛会,本次DEF CON活动中,来自工业界和学术界的研究人员发表了19个主题演讲,覆盖了诸多安全研究领域,吸引了来自全球安全领域的研究者、开发人员和安全爱好者参会,交流前沿的网络安全技术,共享安全领域前沿的技术研究成果。作为本次会议上最年轻的演讲者,来自上海交通大学蜚语(GoSSIP)安全小组的李昶蔚和蔡洤朴为观众带来了大会中唯一关于IoT和无线安全相关的主题安全演讲——Passwords in the Air: Harvesting Wi-Fi Credentials from SmartCfg Provisioning. 我们的议题别具新意,对一类智能设备上独有的安全问题——智能家居设备配网安全问题开展了深入的研究。

发表演讲

图1 来自蜚语(GoSSIP)安全小组的李昶蔚和蔡洤朴发表演讲

智能家居设备配网是用户为此类设备(例如智能体重秤、智能空气净化器、智能洗衣机等)提供所接入Wi-Fi网络所需要的SSID和对应密码的过程。由于智能家居设备大多缺乏输入界面,使用者没有办法像使用计算机或者智能手机一样手工输入相关的信息,因此往往需要依赖于其他的一些途径(例如手机APP以及辅助的AP热点等)来向设备提供所需要的登陆。而这个过程存在诸多加密和认证方面的问题,导致攻击者可以轻易破解所涉及的Wi-Fi密码,给智能家庭安全带来极大的安全隐患,特别地,我们针对一类无线配网方案——SmartCfg配网方案开展的安全分析表明,当前市场上广泛使用的各类SmartCfg配网方案(来自于八家主流无线芯片商)中,多数方案均会导致Wi-Fi密码被攻击者解密获取,而针对市面上常见的超过60款智能家居设备的实际调查更是证实了这种危害的广泛存在:超过三分之二的设备确确实实受到此问题影响!关于这些安全问题的细节,请参考我们发表在知乎专栏上的详细技术分析文章

合影留念
合影留念
图2、3 部分演讲内容

从去年开始,蜚语(GoSSIP)安全小组就开始针对当前的智能家居设备开展安全研究,针对智能电视、智能门锁、智能车辆等设备中的安全基础代码——密码算法与身份认证协议进行了深入剖析,发现了大量安全问题,帮助诸多厂商修复了安全问题。我们在2017年CCS国际安全会议特别针对IoT安全的Workshop和2017年中国互联网安全大会(ISC)物联网安全论坛上均介绍了关于智能设备安全研究的相关内容。今年,我们的研究内容又被国际知名的无线安全学术会议WiSec’18录用,成为该会议今年录用的20篇论文中仅有的来自中国高校的学术文章。在IoT设备安全防护方面,蜚语(GoSSIP)安全小组一直以来就专注于为企业提供安全方案的分析和设计,在上海交通大学-蚂蚁金服 “互联网金融安全技术”联合创新中心的支持下,蜚语(GoSSIP)安全小组已经为多家物联网设备方案提供商和设备生产商提供了安全测试和安全加固服务。我们坚信我们的研究成果会在未来继续帮助产业界增强安全防护,持续助力智能设备安全。

合影留念

图4 来自蜚语(GoSSIP)安全小组的李昶蔚和蔡洤朴在DEF CON China会场