当我家咖啡机管我要赎金的时候，我就知道IoT还是不怎么靠谱

大数据文摘出品

来源：wired

编译：千雪

一旦被冠上“智能”这个名字，似乎所有的电器、产品都比之前传统的产品更有价值更聪明。

这些水壶或者咖啡机打着“智能家居”的旗号，目前在海外市场上收获了一大批热爱咖啡和前沿科技的粉丝，销量还不错。在销售视频中可以看到，这些咖啡机可以自动蓄水、磨豆、还能帮你打开煤气灶。

但是，新生公司在研制产品的时候，往往疏于安全系统设置。在黑客的眼里，这可能也是黑入你家里的重要工具。

安全公司Avast的研究员Martin Hron就对Smarter公司一台老式咖啡机进行了反工程设计，想通过思维实验看看能用它做出什么样的黑客攻击。

仅仅经过一个星期的努力，他得到的回答是：这咖啡机能做的事情的确相当多。具体来说，他可以让咖啡机打开煤气灶，适量加水，旋转咖啡豆研磨机。

不过更重要的是，它还显示了一条勒索信息，同时不断发出可怕的哔哔声。哦，还得顺便说一句，这个过程中唯一能阻止这场混乱的方法就是拔掉电源线。

可以在youtube观看Haron的这一实验：

https://www.youtube.com/watch?time_continue=1&v=bJrIh94RSiI&feature=emb_title

来不及看视频的读者，一起看看Haron的这场咖啡机实验。

智能产品的安全问题其实这也不是个新问题了，它最早出现在2015年。当时，伦敦安全公司Pen Test partners的研究人员发现，他们可以恢复Smarter公司第一代“智能i水壶”使用的Wi-Fi加密密钥。同时，第二代“i水壶”和当时的智能咖啡机还存在着其他问题，包括没有固件签名，以及ESP8266（构成设备大脑的芯片组）的内部区域不可信。因此，当时的研究结果是：可能会有黑客用恶意固件替换工厂固件。研究人员EvilSocket还对设备协议进行了完全反工程，允许对设备进行远程控制。

为Pen Test Partners工作的研究员Ken Munro说，两年前这家公司还发布了第三代“i水壶”和第二代咖啡壶，升级后的产品使用了一种新的芯片组来解决这些问题。

Smarter在售的二代智能咖啡机，售价近1000元人民币

“这都是完全可能的，”Hron在接受采访时说。“我这样做是为了指出，这种情况确实发生过，而且可能会继续发生在其他物联网设备上。这是一个开箱即用问题的好案例，你不需要配置任何东西，卖家也通常不会考虑这些问题。”

当Hron第一次插上他的Smarter咖啡壶时，他发现它立刻成为了一个wi-fi接入点，通过不安全的连接与智能手机进行通信。如果将它连接到家里的无线网络，这个应用程序还会反过来配置设备。在没有加密也没有认证的情况下，Hron毫不费力地了解了手机是如何控制咖啡机的，以及一个流氓手机应用程序是如何做出同样的事情的。这些能力使他只能执行一小部分命令，但是没有一个特别有害。于是他研究了咖啡机接收固件更新的机制。结果发现，这些信息来自手机——你猜得没错——没有加密，没有认证，也没有代码签名。

这些明显的疏漏恰恰为Hron创造了机会。由于最新的固件版本存储在Android应用程序中，他可以把它插到电脑上，使用IDA进行反向工程。IDA是一个软件分析器、调试器和反汇编器，可以说是反向工程师最好的朋友之一。在这上面，Hron几乎立刻就发现了人类可读的字符串。

“从这一点，我们可以推断出没有加密，固件可能是一个‘明文’图像，直接上传到咖啡机的闪存中，”他在博客中详细描述了这次黑客攻击。

要想真正反汇编固件，也就是说，要将二进制代码转换成与硬件通信的底层汇编语言，Hron必须知道咖啡机使用的是什么CPU。这需要他拆开设备，找到电路板，并识别芯片。

有了拆解固件的能力之后，Hron能够逆转咖啡机的重要功能，比如检查煤气灶上是否有瓶子，使设备发出哔哔声，以及最重要的——安装更新。

Hron最终获得了足够的信息来编写一个模仿更新过程的Python脚本。使用一个稍微修改过的固件版本，他发现它就起作用了。

下一步是创建修改后的固件，使之做一些无关痛痒的事情。

Hron写道：“最初，我们想证明这个设备可以挖掘加密货币。考虑到CPU和体系结构，它肯定是可行的，但在8mhz的速度下，这样做没有任何意义，因为这样一个小矿工的生产价值太微不足道。”

因此，他决定换一个办法——如果主人想让机器停止故障，机器就可以向主人索要赎金，就像视频中显示的那样。Hron在芯片未使用的内存空间里，添加了这几行导致所有混乱的代码。

“我们认为这足以吓坏任何用户，这将是非常糟糕的使用体验。此时用户唯一能做的就是把咖啡机从电源插座上拔下来。”

一旦工作更新脚本和修改后的固件被写入并加载到Android手机上（由于ios的封闭性，对它的攻击难度要大得多），就有好几种方法可以实施攻击。最简单的方法是在Wi-Fi范围内找到易受攻击的咖啡机。如果设备没有被配置为连接Wi-Fi网络，这就像寻找咖啡机广播的SSID一样简单。

一旦设备连接到家庭网络，这个配置咖啡机和启动任何更新都需要的临时SSID将不再可用。解决此限制的最直接方法是，如果攻击者知道某个网络上正在使用咖啡机，就向该网络发送一个取消授权的数据包，使咖啡机断开连接。一旦发生这种情况，设备将再次开始广播ad hoc SSID，让攻击者可以自由地使用恶意固件更新设备。

另一个更有可能的变化是，向Wi-Fi范围内的每个SSID都发送一个取消授权包，然后看看是否有ad hoc 广播出现。（SSID的内容总是“Smarter咖啡：xx，”其中xx与设备MAC地址的最低字节相同。）

当然，这种攻击的局限性是显而易见的，只有当攻击者能够定位到一个易受攻击的咖啡机，并且恰好处于它的Wi-Fi范围内时，攻击才会起作用。Hron说，一种解决办法是入侵Wi-Fi路由器，并以此作为攻击咖啡机的主阵地。这种攻击虽然可以远程进行，但是如果攻击者已经破坏了路由器，网络所有者就该担心比故障咖啡机更糟糕的事情了。

Hron说，索要赎金只是一系列攻击的开始。攻击者完全可以做得更多，比如对咖啡机和Smarter制造的其他设备进行编程，进而攻击连接到同一网络的路由器、计算机或其他设备。攻击者甚至很可能在人们毫无察觉的情况下，无声无息地做到这一点。

固然由于这些局限性，这种黑客攻击并不是真正或直接的威胁，但是对某些人（包括我自己）来说，它足以让我远离Smarter的产品（尤其是当前不使用加密、身份验证或代码签名的版本）。然而，Smarter公司的代表没有立即回复记者的留言。

更确切地说，Hron所做的攻击是一个思想实验，旨在探索一个咖啡机、冰箱和所有其他家庭设备都能连接到互联网的世界里可能发生的事情。关于这个被攻击咖啡机，还有一件有趣的事：它不能再接收固件更新，因此没有人可以修复Hron发现的问题。

Hron还提出了重要的一点:

本案例展示了现代物联网设备最令人关注的问题之一：“一个普通冰箱的使用寿命是17年，而你认为供应商会为智能冰箱提供多长时间的功能支持？当然，即使它不再更新，你仍然可以使用它，但是随着物联网爆炸增长的速度和供应商的负面态度，我们正在创建一支被遗弃的易受攻击设备大军，这些设备可能会被误用到网络破坏、数据泄露、勒索软件攻击和DDoS攻击等邪恶目的。”

还有一个问题是，如何应对物联网的爆炸发展。假设你有一个物联网设备，你很容易想到，更聪明的做法是根本不把设备连接到互联网上，让它像正常的、没有网络的设备一样工作。

但在这个咖啡机的例子中，这样做实际上会使你更容易受到攻击，因为它只会广播特殊的SSID，那样做甚至还为黑客节省了几个攻击步骤。如果不使用老式咖啡机，更好的方法是将设备连接到虚拟局域网LAN，现在通常需要使用一个单独的SSID，这个SSID在计算机网络的数据链路层（OSI第2层）中进行分区和隔离。

2015年对Smarter安全问题的详细介绍：

https://www.pentestpartners.com/security-blog/hacking-kettles-extracting-plain-text-wpa-psks-yes-really/

EvilSocket的反向工程：

https://www.evilsocket.net/2016/10/09/IoCOFFEE-Reversing-the-Smarter-Coffee-IoT-machine-protocol-to-make-coffee-using-terminal/index.html

Hron记录这次黑客攻击的博客：

https://decoded.avast.io/martinhron/the-fresh-smell-of-ransomed-coffee/