2023年下半年的第一次阅读推荐,带大家去看移动系统结构旗舰会议MobiSys 2023会议上安全相关的一篇论文 No More Companion Apps Hacking but One Dongle: Hub-Based Blackbox Fuzzing of IoT Firmware
针对物联网的安全测试,往往难以直接对设备本身的代码进行分析,因此安全研究人员经常会利用物联网设备(IoT设备)的配套APP(companion app)来与其通信,并利用模糊测试等技术构造不同的输入用例,探寻设备潜在的问题。今天介绍的这篇论文则另辟蹊径,基于作者观察到的一个新趋势——越来越多不同厂商的IoT设备都可以利用ZigBee、Z-Wave或者WiFi连接到同一个Hub上——来实施安全测试。
在上图的这种典型的应用场景中,IoT设备不再依赖companion app和云端进行通信,而是连接到附近的Hub上,连接的通信信道通常都是ZigBee和Z-Wave这样的近场通信协议,而由于很多大厂(例如Google、Amazon、苹果)都已经定制了IoT通信规范,这些接入Hub的设备,基本上都会遵循相关的通信协议。也就是说,我们只需要使用2-3家的标准协议,就可以和许许多多的IoT设备进行通信,这大大提升了测试的效率——和过去分析每个IoT厂家的设备就要(逆向)分析一个特定的companion app相比,现在的碎片化程度大大降低了。
作者基于这些观察,开发了HubFuzzer这样一个黑盒fuzzing工具,和此前在CCS 2021上发表的论文中介绍的工具SNIPUZZ相比,HubFuzzer能够大幅度增加可测试(可变异)的通信命令的数量(如下图所示),因而更容易发现新的安全问题。
HubFuzzer之所以有能力做到这一点,主要是因为使用ZigBee和Z-Wave通信的IoT设备在加入Hub时,会生成一系列的设置消息(setting-up message),这些setting-up message中包含的信息,可以帮助HubFuzzer发现许多此前黑盒测试发现不了的命令!有了这个思路,HubFuzzer就能够做到非常高的通信命令覆盖率啦~
有了关键的技术突破口,HubFuzzer的设计也是水到渠成(下图展示了它的系统架构)。当然,针对ZigBee和Z-Wave的通信,分析setting-up message并获取相关命令,还是需要一些操作,具体的细节可以参考论文的5.1节。
作者对21款支持ZigBee和Z-Wave通信的IoT设备进行了测试,可以从下面的图片看到它们都是一些比较小的IoT设备。
实验结果表明,HubFuzzer在针对这些设备的安全漏洞挖掘上,效果领先于SNIPUZZ:HubFuzzer在其中的7台设备上找到了23个0-day漏洞(SNIPUZZ没有发现任何漏洞)。
作者还给出了相关漏洞的细节。不过从下表看起来,大部分都是导致设备无法正常工作的DoS漏洞:
论文:https://dl.acm.org/doi/abs/10.1145/3581791.3596857
代码:https://github.com/iot-sec23/HubFuzzer 【人家这是真的有代码!】
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2023-07-03 HubFuzzer
