預留後門成“定時炸彈” IoT裝置安全問題不容忽視

最近，美國安防攝像頭公司Verkada確認遭大規模黑客攻擊。黑客訪問並公佈了來自特斯拉和Cloudflare等機構的實時視訊源，以及來自各種其他Verkada客戶的視訊和影像，受影響的場所甚多，包括辦公室、倉庫、工廠監獄、精神病院、銀行和學校等。

值得注意的是，在此次事件中，黑客通過上圖展示了可以通過廠商預留的維護後門，以超級管理員身份登入使用者攝像頭，執行任意Shell指令。這意味著，在過去的數年時間裡，廠商隨時都可以通過該後門，在使用者不知情的狀態下執行任意動作。

在IoT裝置幾乎無處不在的今天，每一個安全問題導致的威脅可能是方方面面的。因為裝置可能是在普通使用者的家庭中，可能是在本次事件的工廠、學校、監獄中，它們雖然在不起眼的角落裡，卻晝夜不停地流動著每個人日常生活裡的各類資料，比如持續監控的攝像頭、持續傳輸各類上網資料的路由器等。

一旦這些裝置被黑客通過後門攻陷，產生的安全威脅是巨大的。為此，360工業網際網路安全研究院過去一直通過大規模IoT韌體的角度，關注這個領域的整體安全情況。

實際上，根據360FirmwareTotal韌體安全分析平臺過去採集的數十萬IoT裝置韌體分析顯示，不只是攝像頭，在路由器等裝置裡的後門也屢見不鮮。也許是開發者為了除錯設定的介面，在產品釋出時忘記關閉；又或者是類似本次的案例，廠商為了方便遠端維護，在裝置中預置了後門。

裝置後門型別也很多，有直接在硬體層面植入的，也有通過軟體植入的；有把telnet服務埠保持開放的，也有平時保持關閉，但留下了隱藏的開關，可以被特定指令觸發開啟的。上述的後門裡，最隱蔽的，就是需要特定指令開啟的後門。

在學習大量過往案例經驗的基礎上，360工業網際網路安全研究院針對隱蔽後門總結了一些識別模式，並在大量的韌體資料集中，驗證這些識別模式的有效性。最終，通過不斷的驗證與改進，訓練出來了一個行之有效的隱蔽後門識別模式，並發現了多個裝置後門。

比如在某知名廠商的多個型號攝像頭產品中，通過向特定的埠，傳送特定的資料包，就會觸發攝像頭開啟telnet。

在該攝像頭內的程式中也可以清晰地看到相關邏輯，在該特殊埠接收到特定字串後，就會判斷是接收到了“暗號”，並執行telnetd。

此外，路由器等裝置中也發現了不少遺留的後門。比如國內某廠商的路由器，在該裝置的後臺控制頁面中，有一個隱藏頁面。所謂隱藏，是指沒有任何Url連結到它。這樣一來，普通使用者即使登入到路由器的控制後臺介面，也無法發現。在這個隱藏頁面，就有一個可以開啟telnet服務的開關。

通過逆向該頁面呼叫的相關程式，可以看到其通過重啟了telnet服務的方式，將telnet埠開啟。

開啟telnet服務後，開發者就可以方便地進行除錯工作。當然，如果被惡意黑客發現的話，也可能會被利用於惡意攻擊。

在FirmwareTotal中被模式識別發現的另一個例子裡，實現執行開啟後門的特定指令，是一個特殊的連結地址。通過訪問這個特定的連結，就能觸發路由器開啟telnet服務。

可以看到網頁顯示載入telnetd成功，通過埠掃描也可以監測到，原本關閉的telnet服務，現在開啟了。

除此以外，利用該模式也發現了其他的例子。例如美國一家知名廠商的裝置中，就是通過另外一個特殊的連結，觸發後門的開關。從返回的訊息看“DebugEnable！”應該也是開發人員為了方便除錯而預留的介面。

如果對相關的程式進行逆向分析，可以看到該連結會呼叫utelnetd，開啟telnet服務。

可以看到，在不同型別的裝置中，都存在著這樣那樣的隱蔽後門。建議商家或開發者在釋出產品之前，應該注意將除錯介面關閉，以防被有心之人利用，行不法之事。也提醒廣大的消費者，要及時將家中的IoT裝置升級到最新版本。