物联网安全:SMS和语音服务攻击以及如何预防

在本文中,我们将研究通过短信和语音进行的针对特定服务的物联网设备攻击,并解释攻击者如何利用漏洞访问隐私信息或为其犯罪业务创造收入。

通过短信攻击

在21世纪初,通过短信发送不受欢迎的广告的手机诈骗非常普遍。除了烦人之外,这些短信也是一种不必要的成本——向接收方收取每个广告的费用。短信广告很快被禁止和减少,但另一种不受欢迎的短信形式仍然存在- Smishing(垃圾邮件)。

短信钓鱼和电子邮件钓鱼一样,攻击者邀请不知情的收件人点击一个链接,然后开始下载恶意软件。包括这种类型的人类决策的物联网案例是有限的,例如,支付终端或订单屏幕易受攻击。这意味着,对于大多数物联网设备来说,其他的攻击面更值得关注。

2019年,报告了两个漏洞:Simjacker和WIBattack。他们使用短信和SIM卡上的一个软件来获得对设备的控制。每个SIM卡都是一个微处理器,并有一个软件小程序的空间。漏洞都使用过时的applet, S@T浏览器和无线互联网浏览器(WIB)——没有实现正确的安全措施。攻击者可以向设备发送OTA短信——一种可以改变SIM卡配置的特殊类型的短信。通常OTA短信使用运营商的安全密钥,SIM卡可以根据此密钥识别短信是否来自运营商,但这些小应用程序也可以接受没有安全措施的短信。基于这个漏洞,攻击者能够在SIM卡上执行命令,如检索位置信息、发送短信或建立呼叫。这两种攻击都表明,设备在现场运行的时间越长,就越容易受到新的安全漏洞的攻击,最终导致攻击者完全控制设备。

语音通话

语音通话欺诈仍然是电信运营商及其客户面临的一个主要问题——估计在2019年造成283亿美元的损失。最常见的欺诈类型仍然是国际收入分成欺诈(ISRF),在这种欺诈中,客户被骗拨打一个付费号码,他们需要为此支付高额费用。付费号码提供商和租用号码的公司平分收入。网络提供商认为与付费号码相关的费用是与客户所拨打的电话相关的费用——这意味着它最终会计入客户的电话费。如果客户拒绝支付费用,则他们的合同可能最终被终止。

虽然语音呼叫只是物联网的一个特例(例如,电梯紧急呼叫),但通常设备上部署的SIM卡仍然支持语音。获得设备或SIM卡物理或远程控制的攻击者可以在设备所有者不注意的情况下产生多次呼叫。如果攻击者利用了Mirai / Simjacker示例中的安全漏洞并获得了整个IoT设备群的控制权,则产生的账单可能会导致业务终止。

建议对策

物联网设备在现场部署时具有特定目的,其连接配置文件应限于该目的。例如,如果不需要SMS和语音功能,则应在连接提供商门户中将其禁用。仅在初始设备配置(例如通过SMS设置APN)之后,也可能会发生这种停用。

语音服务应仅限于特定用例所需的源和目的地。物联网解决方案提供商通常使用互联网协议语音(VoIP)服务而不是常规电信服务,因此他们可以使用与数据服务相同的安全性机制。

应阻止外部短信(指来自其他移动设备的短信),这样攻击者就不能直接向手机发送恶意短信。相反,应使用应用程序对点(A2P)短消息,只有设备所有者可以发送/接收来自设备的短消息-只有在他们的应用程序事先通过连接提供商的身份验证之后。

物联网业务的另一个最佳实践是配置设备可以发送或接收的短信数量的限制。这样,如果设备发生故障并发送异常数量的短信,就可以避免不必要的成本。

总结

当谈到物联网攻击时,最常讨论的是数据通道。然而,短消息和语音信道为蜂窝连接提供了另一个重要的攻击面。销售可连接产品的企业应确保其设备不易受到攻击,并确保应用正确的通用安全配置文件。理想情况下,在连接级别应该有一种通用的安全方法。并且由于欺诈性连接成本高和收入损失,可能导致最终客户不满,允许终端客户选择连接提供商通常可以防止这一点。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Next Post

物联网和大数据:零售业和金融服务业需要关注的6大趋势

周三 10月 14 , 2020
尽管过去几年物联网行业的影响力令人印象深刻,但该技术将给金融服务市场带来的颠覆影响同样巨大。 根据M […]