智能锁已逐渐替代传统锁钥被用作智能物联网（IoT）保护财产的方法。与其他物联网设备（包括无线门铃和门栓）相辅相成，这些设备被普通公众用来保护他们的家。商业中，在Airbnb上出租房屋时，托管人可以对其进行远程管理不必在现场为客人安排钥匙移交。

虽然便利为王，但这种连通性也会带来一系列新的安全问题。例如，几年前，糟糕的固件更新使LockState客户陷入麻烦境地，他们纷纷在Twitter上抱怨无法远程控制自己的智能锁，因此无法进入自己的家。

现在，锁标正被网络嗅探器和漏洞利用所取代，在 U-Tec UltraLoq 中，Tripwire的研究人员披露了错误配置和其他安全问题，这些问题泄露了数据，使得攻击者仅用一个MAC地址就可以窃取解锁令牌。

U-Tec的价格为139.99美元的UltraLoq由包括Amazon，Walmart和Home Depot在内的零售商出售，被称为“安全，通用的智能门锁，可通过支持蓝牙的智能手机和代码提供无钥匙进入。”

用户可以与朋友和来宾共享临时代码和“密钥”以进行预定访问，但据Tripwire的研究人员Craig Young称，能够嗅探设备MAC地址的黑客也可以获得访问密钥。

Young首先在物联网搜索引擎Shodan中搜索与U-Tec和供应商使用MQTT相关的词条，MQTT是物联网设备中用于在节点之间发布-订阅协议的交换数据。例如，智能恒温器的传感器可以传输与特定房间中的供热有关的数据，或者智能锁可以使用MQTT记录用户及其访问活动。

MQTT将这些详细信息记录在主题名称下。研究者的查询显示了一个包含UltraLoq Amazon-hosted代理的主题名称，发现了客户PII（例如电子邮件地址）。然后，研究人员检查了UltraLoq设备本身，发现该设备与通过蓝牙连接到Wi-Fi的桥接设备配对。

Young发现了一个有趣的“在解锁过程中重复的消息流”，并且在敲出Python脚本重播消息后，计算出的信息可以用来开锁。

它所需要的只是正确的MAC地址——通过MQTT数据泄漏可方便地获取，还可以通过无线电广播提供给范围内的任何人。 

Young表示，此安全问题使批量或从特定设备窃取解锁令牌变得容易。

“MQTT数据可将适合地理定位的电子邮件地址、本地MAC地址和公共IP地址关联起来，”研究人员说。“匿名攻击者将能够收集任何活跃的U-Tec客户的识别详细信息，包括他们的电子邮件地址，IP地址和无线MAC地址。”

2019年11月10日，Young与U-Tec联系，并公布了他的发现。初始，该公司告诉杨不要担心，声称"未经授权的用户将无法打开门。

然后，网络安全研究人员向他们提供了Shodan抓取的屏幕截图，显示了以MQTT主题名称形式泄露的活动客户电子邮件地址。

在一天之内，U-Tec团队就做出了一些更改，包括关闭开放端口，添加规则以防止未经身份验证的用户订阅服务以及“关闭未经身份验证的用户访问”。

虽然有所改进，但这并不能解决所有问题。 

Young评论道：“这里的关键问题是，他们专注于用户身份验证，但未能实现用户级别的访问控制，我演示了任何免费/匿名账户都可以与任何其他用户的设备连接并交互，所必要的就是MQTT应用程序生成的交通恢复特定设备的用户名和一个MD5摘要充当密码。”

在进一步推进之后，U-Tec花了几天的时间实施用户隔离协议，解决了Tripwire在一周内报告的每个问题。

Young表示：“即使有像锁和熔炉这样对安全至关重要的系统，对产品进行安全保护的要求也很少，而对安全的监督则更少。正如我们在Mirai和其他IoT僵尸网络中所看到的那样，Internet上的设备甚至不需要多大漏洞就能在出现故障时造成严重破坏。”

Tripwire的发现基于Pen Test Partners在UltraLoq中发现的一系列关键问题。在2019年6月，渗透测试公司披露了导致用户信息暴露的移动应用程序API的安全故障，以及重置锁定PIN的方法，从而有可能将受害者锁在自己的家门外——或授予攻击者访问权限。通过蓝牙本地解锁也是可能的，研究人员称之为“微不足道”的攻击。

*本文出自SCA安全通信联盟，转载请注明出处。