【導讀】WIFI LED燈是由無線WiFi連接的LED電燈泡。這種燈可以做為路由器、HTTP服務器、HTTP代理服務器等等多種設備。近日,有國外安全專家發現Zengge公司的WIFI LED燈中存在多個安全漏洞。
LED燈沒有使用身份驗證機制,所以如果攻擊者已知其MAC地址,并且它被設置成可以接收來自互聯網的命令時,攻擊者就可以控制該LED燈。
WIFI LED燈是由無線WiFi連接的LED電燈泡。這種燈可以做為路由器、HTTP服務器、HTTP代理服務器等等多種設備。
工作原理
這種LED燈使用安卓應用進行控制,它可以連入網絡,本地控制或通過網絡遠程控制,默認情況下互聯網控制是禁用的,這一點可以很好地保證安全。LED燈中有三個端口:TCP 80端口,TCP 5577端口,UDP 48899端口。80端口用于受損網頁,5577端口控制燈泡,48899端口控制路由器。
路由器端口允許用戶執行任意操作:刷新固件,作為代理,讀取WiFi密碼,連入不同網絡等等。但是該端口一般只連接內網。控制該端口的命令是AT后加命令和可選參數的名稱。
雖然LED燈在連入網絡時沒有使用加密算法,但是由于用戶的權限只是控制光照,所以并沒有太大的影響
漏洞描述
本地網絡攻擊
攻擊者只需要向48899端口發送UDP數據包,即可借助硬編碼的密碼HF-A11ASSISTHREAD使用AT命令。
使用AT+UPURL命令可以刷新固件:
AT+UPURL=url,filename
使用以下AT命令可以讀取WIFI密碼:
AT+WSSSID
AT+WSKEY
使用AT+HTTPDT命令及相關的HTTP命令可以使LED燈按照攻擊者的意愿,讓所在網絡中的防火墻和NAT發送請求,發揮類似于HTTP代理的作用。
攻擊者可借助同一網絡中的燈泡獲取遠程控制功能的使用權限,該漏洞與“互聯網遠程控制”漏洞不同,攻擊者一旦知道了燈泡的MAC地址,其訪問權限即不能撤銷。
WIFI攻擊
當LED燈在STA模式未成功連接訪問點時,配置AT+MDCH功能會使它可以返回到無線AP模式。AT+MDCH功能有以下配置選項:
1.off
2.on – 1 minute
3.auto – 10 minutes
4.3-120 – minutes to reset
大多數情況下(除非用戶另外配置),由于程序默認開啟AP模式,攻擊者可以連接并執行任意本地攻擊。
暴露在互聯網中的危險
通過掃描LED燈的網絡,發現至少有兩個已暴露在互聯網中的管理端口。如果LED燈接入互聯網,攻擊者就可以在任意位置通過實施代理攻擊獲取用戶網絡的訪問權限,還可以借助路由器的MAC地址對用戶進行物理定位,并在Wigle數據庫中進行查找,使用已知的無線名和密碼連接與LED燈相同的訪問點,或使用軟件刷新固件,實施其他攻擊。
互聯網遠程控制攻擊
LED燈沒有使用身份驗證機制,所以如果攻擊者已知其MAC地址,并且它被設置成可以接收來自互聯網的命令時,攻擊者就可以控制該LED燈。
該燈的MAC地址的前綴是ACCF23,后三個字節確定一臺設備。由于MAC地址地址都是按順序分配的,因此,如果攻擊者確定了一個MAC地址就可以限定掃描范圍。因此,攻擊者花費很少的時間就可以控制開啟了“遠程控制”功能的燈泡。
但是Hue燈泡可通過使用源IP地址自動發現設備來阻止此類攻擊。
間接連接攻擊
已經連接了LED燈的手機搜索遠程設置時,會發現該燈的授權設備列表,其中包括所有曾經授權連接的設備,API調用為GetAuthUserDevice。那么,問題出現了:攻擊者可以借助該授權列表獲取設備ID,用于控制其他LED燈。
修復情況
Zengge公司曾經通過混淆密鑰嘗試修復這些漏洞,但是并沒有成功。后來該公司發布了一個新的版本,修改了設備的注冊過程,加入了服務器驗證過程。但是至今仍然沒有開啟服務器驗證選項。
