物联网安全：LED灯中存在多个安全漏洞

近日，有国外安全专家发现Zengge公司的WIFI LED灯中存在多个安全漏洞。

深圳市征极光兆科技(ZENGGE) 是一家集LED控制器产品研发、制造、销售及工程设计、安装、服务为一体的高科技公司。

WIFI LED灯是由无线WiFi连接的LED电灯泡。这种灯可以做为路由器、HTTP服务器、HTTP代理服务器等等多种设备。

工作原理

这种LED灯使用安卓应用进行控制，它可以连入网络，本地控制或通过网络远程控制，默认情况下互联网控制是禁用的，这一点可以很好地保证安全。LED灯中有三个端口：TCP 80端口，TCP 5577端口，UDP 48899端口。80端口用于受损网页，5577端口控制灯泡，48899端口控制路由器。

路由器端口允许用户执行任意操作：刷新固件，作为代理，读取WiFi密码，连入不同网络等等。但是该端口一般只连接内网。控制该端口的命令是AT后加命令和可选参数的名称。

虽然LED灯在连入网络时没有使用加密算法，但是由于用户的权限只是控制光照，所以并没有太大的影响

漏洞描述

• 本地网络攻击

攻击者只需要向48899端口发送UDP数据包，即可借助硬编码的密码HF-A11ASSISTHREAD使用AT命令。

使用AT+UPURL命令可以刷新固件：

AT+UPURL=url,filename
使用以下AT命令可以读取WIFI密码：
AT+WSSSID
AT+WSKEY

使用AT+HTTPDT命令及相关的HTTP命令可以使LED灯按照攻击者的意愿，让所在网络中的防火墙和NAT发送请求，发挥类似于HTTP代理的作用。

攻击者可借助同一网络中的灯泡获取远程控制功能的使用权限，该漏洞与“互联网远程控制”漏洞不同，攻击者一旦知道了灯泡的MAC地址，其访问权限即不能撤销。

• WIFI攻击

当LED灯在STA模式未成功连接访问点时，配置AT+MDCH功能会使它可以返回到无线AP模式。AT+MDCH功能有以下配置选项：

1、off
2、on – 1 minute
3、auto – 10 minutes
4、3-120 – minutes to reset

大多数情况下（除非用户另外配置），由于程序默认开启AP模式，攻击者可以连接并执行任意本地攻击。

暴露在互联网中的危险

通过扫描LED灯的网络，发现至少有两个已暴露在互联网中的管理端口。如果LED灯接入互联网，攻击者就可以在任意位置通过实施代理攻击获取用户网络的访问权限，还可以借助路由器的MAC地址对用户进行物理定位，并在Wigle数据库中进行查找，使用已知的无线名和密码连接与LED灯相同的访问点，或使用软件刷新固件，实施其他攻击。

• 互联网远程控制攻击

LED灯没有使用身份验证机制，所以如果攻击者已知其MAC地址，并且它被设置成可以接收来自互联网的命令时，攻击者就可以控制该LED灯。

该灯的MAC地址的前缀是ACCF23，后三个字节确定一台设备。由于MAC地址地址都是按顺序分配的，因此，如果攻击者确定了一个MAC地址就可以限定扫描范围。因此，攻击者花费很少的时间就可以控制开启了“远程控制”功能的灯泡。

但是Hue灯泡可通过使用源IP地址自动发现设备来阻止此类攻击。

• 间接连接攻击

已经连接了LED灯的手机搜索远程设置时，会发现该灯的授权设备列表，其中包括所有曾经授权连接的设备，API调用为GetAuthUserDevice。那么，问题出现了：攻击者可以借助该授权列表获取设备ID，用于控制其他LED灯。

修复情况

Zengge公司曾经通过混淆密钥尝试修复这些漏洞，但是并没有成功。后来该公司发布了一个新的版本，修改了设备的注册过程，加入了服务器验证过程。但是至今仍然没有开启服务器验证选项。