智能厨电信息安全漏洞测试技术研究与应用
随着物联网、智能硬件近几年的快速发展,背后隐藏的越来越多的信息安全问题也浮出水面,今年“3.15晚会”针对智能硬件信息安全漏洞的曝光引起了公众对这一问题的广泛关注.本文将从智能厨电的网络架构入手,分析其中的信息安全风险,结合实际工作经验详细阐述相关信息安全漏洞的测试方法.根据智能厨电数据流传输方向分析,信息安全风险主要集中在APK、云端两个方面。从目前国内知名漏洞平台乌云WooYun 上来看,曝光的智能硬件漏洞数量云端> APK > 固件。固件因为要物理接触设备,从处理器逆向提取代码,限制较大,安全风险相对较小。APK 有相应的逆向分析工具(Apktool、Dex2jar),可以从APK 逆向得到源码。如果开发者没有进行混淆、加密处理,那么其中的加密算法、关键数据泄露的风险就大大增加。云端在整个系统中扮演核心角色,涉及数据处理转发,用户与设备绑定关系,个人信息数据的存储,具有十分重要的地位。安全主要涉及用户身份验证、API 访问控制、数据传输加密等方面,通过绕过用户权限验证给云端API 发送数据,达到控制设备的目的,是黑客最常见的攻击方式。具体测试包括数据加密性测试、重放攻击测试、越权测试等。智能设备的安全问题日益凸显,目前包括厨电企业在内的各大厂商对产品的信息安全测试还不够重视,这个领域比较新颖,知识积累也很少。本文阐述的信息安全漏洞涉及的只是信息安全领域的冰山一角,相信随着各大厂商对信息安全问题逐步重视,相关领域的发展逐渐完善,信息安全测试必将越做越好。
智能厨电 信息安全 漏洞测试 重放攻击 越权测试 数据加密性
刘啸虎 赵云梦
杭州老板电器股份有限公司,311100
国内会议
宁波
中文
769-773
2016-11-08(万方平台首次上网日期,不代表论文的发表时间)