Group of Software Security In Progress

GoSSIP @ LoCCS.Shanghai Jiao Tong University

All Things Considered an Analysis of IoT Devices on Home Networks

作者: Deepak Kumar, Kelly Shen, Benton Case, Deepali Garg, Galina Alperovich, Dmitry Kuznetsov, Rajarshi Gupta, Zakir Durumeric

单位: University of Illinois at Urbana-Champaign Stanford University Avast Software s.r.o.

会议: Usenix Security 2019

原文: All Things Considered An Analysis of IoT Devices on Home Networks

概述

在这篇文章中,作者利用从用户主导的网络扫描收集到的数据,首次对真实世界中家庭IoT设备进行了大规模的分析,覆盖了1600万家庭的8300万台设备。 本文的主要贡献总结如下:

  • 识别家庭IoT设备的类型和制造商
  • 分析IoT设备的安全状况,包括开放服务、弱默认凭证以及已知攻击漏洞
  • 研究了这些信息与地理位置的关系

1 方法和数据集

本文研究主要利用了Avast收集数据、被动网络检测以及主动网络范围扫描等方法。

1.1 WiFi Inspector

Avast是一家安全软件公司,提供流行的杀毒安全软件,约占杀毒软件市场份额的12%。其所有杀毒产品均包含WiFi Inspector工具,该工具可以帮助用户保护其家庭网络中的IoT设备和其他计算机。

WiFi Inspector在用户计算机本地运行,对本地网络进行扫描来检查是否存在不安全的设备,包括使用弱凭据或存在远程可利用漏洞,扫描可以由用户手动启动。

图1 WiFi Inspector

WiFi Inspector操作:

网络扫描
  1. WiFi Inspector首先会通过active ARP、SSDP和mDNS扫描,生成一个扫描候选列表
  2. 通过ICMP和常见TCP/UDP端口以递增IP顺序来检测监听服务
  3. 扫描在完成或发生超时后终止
  4. 之后,扫描程序会尝试从监听服务中收集应用层数据(例如HTTP root page、UPnP root device description、Telnet banner)
检测设备类型

WiFi Inspector会对扫描中收集的应用层和传输层数据进行分类算法,以向用户提供其网络上可读的主机列表。将设备分为以下14类:

14 device types

制造商通常在Web管理界面以及FTP和Telnet banners中包含模型信息,或者通过UPnP和mDNS广播设备详细信息,可以利用这些信息来进行分析识别。

WiFi Inspector使用两种方法来识别设备类型:

  • 专家规则(正则表达式) WiFi Inspector大概包含1000条专家规则,这些规则可以识别来自大约200个制造商设备。表1显示了部分规则,这些规则仅能从1000个人工标记的设备随机样本中识别出60%的设备。

表1 样本设备分类规则

  • 有监督的分类算法 为了对其余设备进行分类,WiFi Inspector利用四个监督学习分类器,这些分类器利用网络层数据、UPnP响应、mDNS响应和HTTP数据分别对设备进行分类。

分类器使用随机森林构建,包括以下设备网络功能:

  • MAC地址
  • IP地址
  • 监听服务(端口和协议)
  • 每个端口上的应用层响应
  • DHCP class_id和hostname

    Avast收集了大约50万随机设备上的数据,将其中的20万手动分类。其余30万个设备使用专家规则标记。最终分类器实现96%的准确率和92%的覆盖率

在识别过程中,WiFi Inspector先使用专家规则,如果无法匹配,再应用四个监督学习分类器。

制造商标签

为了生成一个完整的设备标签,WiFi Inspector将设备类型与设备制造商结合,Avast通过每台设备MAC地址的前24bit来决定制造商(IEEE Organizationally UniqueIdentifier (OUI) registry)。

作者发现有时与MAC地址关联的是网络接口制造商,而不是设备制造商。在这些情况,作者手动记录制造商分组。

检查弱凭证

WiFi Inspector通过对FTP和Telnet服务以及使用HTTP基本认证方式的页面等执行dictionary-based attack,以检查使用弱凭证进行认证的设备。扫描程序尝试通过大约200个凭证进行登录,这些凭证由一些默认(admin)和常用(user, 1234, love)字符串组成,包括流行口令表、制造商和ISP默认列表以及IoT恶意软件检查的口令。

检查常用漏洞

WiFi Inspector能够在不损害目标设备的情况下,检查设备上存在的大概50种漏洞。

1.2 Avast数据集

作者与Avast合作,使用WiFi Inspector收集设备相关信息;用户会被告知有关这项数据收集的信息,并可以随时选择退出。

本文仅针对Windows家庭网络,而不对公共网络进行扫描。

作者专门分析了在2018年12月运行的设备数据,覆盖了241个国家和地区,包括1550万家庭的8300万台设备以及14.3K的制造商。作者将国家/地区汇总为11个地区,如表3所示,可以发现WiFi Inspector在欧洲和南美地区比北美更受欢迎。 由于这种市场差异以及物联网部署的区域差异,本文作者将分别讨论不同区域与设备类型、安全状况之间的联系。

表3 区域性分布差异

1.3 Network Telescope

网络望远镜(darknet)主要观察针对网络未使用地址空间的流量,由于到这些地址的所有流量都是可疑的,因此可以通过观察获得有关可能的网络攻击。

为了检测设备是否被感染并且扫描威胁其他设备,作者采用Durumeric的方法:在由大约470万个IP地址组成的大型网络望远镜中扫描IP地址,如果一个IP地址在480秒内与同一端口上的望远镜中至少25个地址联系,那么认为该IP地址正在扫描(即认为该设备不安全)。

1.4 Internet-Wide Scanning

作者利用Censys工具收集网络扫描数据,该工具能够快速扫描发现特定的易受攻击的设备和网络,以了解网关上是否存在可以远程利用的漏洞,以及接受弱身份验证凭据的设备是否在公用IP地址上存在登录接口。

2 IoT in Homes

如图2所示,IoT设备因地区而异。最大的市场是北美,每个家庭平均拥有7台主机。相反,南亚的家庭平均拥有2台主机。每家每户的设备数量从2台开始,因为所有家庭至少需要一台计算机和一台路由器。

图2 不同地区的设备

北美超过70%的家庭拥有IoT设备,但南亚只有不到10%的家庭拥有IoT设备。媒体设备是7个区域中最常见的设备,对于其余4个地区,监控设备在南亚和东南亚最常见,工作设备在东亚和撒哈拉以南非洲最常见。表4显示了每个区域中最受欢迎的设备。

表4 IoT in Homes

流行的设备类型在各个地区之间是相似的,但某些地区仍有不同,例如亚洲地区家庭与北美地区最不相同。作者详细介绍了每个地区的IoT设备部署特点,这里仅以北美为例,详细内容可以查阅原文。

2.1 North America

北美具有最高IoT设备密度:71.8%的家庭拥有IoT设备,全球中位数为40.2%。其中媒体设备(44.9%)和办公设备(28%)为主要设备类型。 对于媒体设备,最流行的供应商Roku只占媒体设备的17.4%,其次是Amazon(10.2%)。对于办公设备,惠普是最常见的设备供应商,占38.7%。北美很多家庭装有游戏机,三大主要供应商为微软(39%)、索尼(30%)、任天堂(20%)。此外,北美是唯一大量部署家庭语音助手(例如Amazon Echo和Google Home)的地区,将近10%的家庭拥有,设备类别占7.5%,2/3的家庭助手由Amazon生产,1/3为Google设备。北美还是仅有的存在自动化设备的地区之一,2.5%的家庭中使用自动化设备,由4个主要制造商:Nest4(44.2%)、Belkin(15.1%)、Philips(14.4%)和Ecobee(9.8%)。

作者为每对地区的流行设备类型计算Spearman rank相关系数,以了解区域之间的相似性,结果如表5所示,相似度最高标记为绿色,相似度最低为红色。

表5 区域相似度

2.2 IoT Device Vendors

本文作者发现了来自14300个供应商的设备,但全球90%的设备是由100个供应商生产的,如图4a所示。不同设备类型的供应商差异很大,如图4b所示,某些设备类型仅由少数供应商提供。例如,Amazon和Google占全球语音助手设备的90%以上,媒体设备供应商是最异构的:排名前10的供应商仅占设备的60%。

图4 每个地区的IoT制造商和设备类型

作者计算了每对区域中每个供应商分布的成对Spearman相关系数,然后通过获取各对区域之间的平均相关性来汇总整个设备类型,如表6所示。 作者发现由少数供应商主导的设备类型在所有区域中均显示出很强的相关性,例如游戏机在全球几乎每个区域都有三大游戏厂商主导。 然而,也有很多设备类型(媒体和存储设备)排名前10的供应商,区域之间没有关联。这表明对于这些设备类型,供应商有不同的地区偏好。

表6 设备类型供应商相关性

3 Home Security

作者还研究了家庭设备的安全配置,包括弱凭证设备、家庭路由器的安全配置文件以及在暗网上表现出扫描行为的家庭设备。 结果如表7所示,67.5%的设备至少提供一项基于TCP/UDP服务;设备通常支持较旧的协议,如Telnet(7.1%)和FTP(7.8%);最常见的协议是UPnP(46.2%);近一半的设备上观察到使用HTTP和mDNS。

表7 流行的IoT服务

3.1 Weak Device Credentials

WiFi Inspector通过尝试使用默认凭据字典来登陆FTP和Telnet服务,识别允许使用弱凭证认证的设备。作者发现了7.1%的IoT设备和14.6%的家用路由器支持这两种协议,其中,17.4%的用户有较弱的FTP密码,2.1%的用户有较弱的Telnet密码。

表8 最流行的弱FTP和Telnet凭据

如表8所示,admin/admin是最常见的,分别占了88%和36%;来自571个FTP供应商和160个Telnet供应商的设备使用该凭据。 此外,易受攻击的IoT设备数量随着区域的不同而不同,如表9所示。在此基础上作者进一步观察到,拥有弱FTP凭据的可能性与弱Telnet凭据相关,这表明弱凭据的存在可能与整个区域的弱安全态势有关。 几乎所有支持FTP的IoT设备都是工作设备(76%)、存储(9.1%)、媒体(7.6%)和监控设备(5.1%),这与工作和存储设备的业务需求一致,方便用户传输。

表9 分区域和设备类型的弱默认凭证

存储设备是最多支持FTP的设备类型,仅有少部分使用弱凭据。但有两个地区除外——东亚和撒哈拉以南非洲,如图9所示,弱凭据分别占了存储设备的12.2%和10.1%。作者发现这主要是由于一个供应商ICP Electronics,它在这两个地区占有很大的市场份额,74%的ICP存储设备都具有弱的默认凭据。

一些家用路由器也支持FTP(10.2%),如表10所示,TP-Link包含大多数使用弱FTP凭证的路由器,因此TP-Link使用频率高的区域也具有较高的FTP弱凭证设备。在所有地区的TP-Link设备中,有9.3%提供开放的FTP端口,这些设备中有62.8%存在弱凭据。

此外,作者发现监控设备和路由器设备仍然支持Telnet协议,监控设备的Telnet配置文件最弱(10.7%)。

表10 不安全的设备制造商

3.2 Home Routers

在收集到的数据中,几乎每个家庭都有一个路由器,对于这类设备,各地供应商之间仍存在地区差异,如表9所示。

总体而言,实验中一共观察到来自4800个供应商的路由器,TP-Link最受欢迎(15%),是5个地区的顶级提供商(南美、中亚、东欧、南亚和东南亚),Arris是北美最受欢迎的路由器供应商(16.4%),华为是撒哈拉以南和北非最受欢迎厂商(19.8%/25.6%)。

  • Weak FTP/Telnet Credentials

    超过93%的路由器在80端口上有HTTP管理接口,还有很多路由器支持UDP上的DNS(66.5%),UPnP(63.4%),TCP上的DNS,HTTPS,SSH,FTP(10.8%),Telnet(14.6%)等。

    在支持FTP和Telnet的设备中,12%有弱FTP凭据,1.6%有弱Telnet凭据。对于FTP,TP-Link路由器配置最不安全;对于Telnet,D-Link路由器最不安全。

  • Weak HTTP Administration Credentials

    WiFi Inspector尝试登陆设备的HTTP接口,实验一共包括380万个TP-Link路由器,82%的HTTP端口开放。WiFi Inspector能够检查其中250万台HTTP设备(66%)上是否具有弱默认凭据;结果显示有120万(30%)的路由器存在弱HTTP凭据,其中99.6%使用admin/admin。

    TP-Link路由器口令安全情况因地区而异,如表9所示。北美仅有6%的TP-Link路由器具有弱口令,南/中亚、东/南欧有45%存在弱口令。

  • External Exposure

    为了了解具有弱默认凭据的路由器是否暴露在公共网络上,作者将WiFi Inspector数据集与Censys的网络范围扫描数据结合在一起。小部分的家庭路由器主机存在公开访问的服务:HTTP(3.4%),FTP(0.8%),Telnet(0.7%)和SSH(0.8%)。开放式网关主要位于三个地区:中美洲(29.3%),东欧(20.6%)和东南亚(17.2%)。

    在这些路由器中,有51.2%的路由器存在漏洞,远高于数据集中存在漏洞的非外部公开可用路由器的比例(25.8 %)。在这些地区,最受欢迎的路由器供应商是TP-Link,它也是存在大多数外部公开路由器的供应商(19.7%)。

3.3 Scanning Homes

作者分析了2019.1.1当天WiFi Inspector在网络望远镜执行漏洞扫描的家庭,WiFi Inspector从500700个家庭中,发现有1865(0.37%)个家庭存在扫描问题。扫描频率最高的目标是TCP / 445(SMB,26.7%),其次是TCP / 23(Telnet,11.3%),TCP / 80(HTTP,10.7%)和TCP / 8080(HTTP,9.4%)。

除检查凭据外,WiFi Inspector还检查设备是否存在一些近期已知的漏洞(CVE,EDB), 1156(62%)个存在扫描问题的家庭网络设备至少包含一个已知漏洞;而数据集中的720万(46.8%)非扫描家庭(不存在扫描漏洞)包含至少一个已知漏洞。

在从存在扫描问题家庭中观察到的25个漏洞中,有17个出现的比例在统计上与总体设备没有差异,其余8种则存在显著差异。这8个漏洞中,有6个都低于总体出现比例,有2个出现率较高的漏洞都与EternalBlue有关,EternalBlue是一个针对Windows上的SMB的NSA漏洞。作者发现存在扫描问题家庭中有5.2%的设备易受EternalBlue攻击,此外,存在扫描问题家庭中有1.3%的设备已被破坏,并通过后门进行通信。这也在一定程度上解释了作者在网络望远镜中观察到的SMB扫描行为。

4 Discussion

  • 尽管最新的安全研究大多集中在新型的IoT设备上,例如智能门锁,但本文结果表明全球流行的IoT设备仍然是智能电视、打印机、游戏机和监控设备等传统IoT设备。这些设备仍然支持旧协议的弱凭据:办公设备是使用FTP弱凭据最多的设备,监控设备是使用Telnet弱凭据最多的。

  • 本文还发现许多支持弱凭证的设备都是由少数几个供应商生产的,因此可以督促供应商采用更好的安全实践来解决这些问题。
  • 实验中的数据集可能存在一些偏差:
    • 数据是基于用户在计算机上安装的防病毒软件
    • Mac和Windows版本之间的差异,本文仅分析Windows数据
    • WiFi Inspector主动通知用户发现的问题,用户可能已经修复了易受攻击的计算机
  • 本文实验仅包含约50种漏洞的检测,漏洞覆盖率不高。