今天要为大家推荐的论文是来自香港中文大学“LASR应用安全研究室”(http://lasr.ie.cuhk.edu.hk/index.html )张克环老师投稿的关于物联网安全中智能电视的最新研究工作HOMESPY: The Invisible Sniffer of Infrared Remote Control of SmartTVs,目前该工作已被USENIX Security 2023录用。
红外 (IR) 遥控器由于其简单性和低成本而成为家庭中广泛使用的技术。大多数人认为它是“安全的”,因为在家中视线范围内使用。在本文中,作者重新审视了 IR 远程控制方案的安全性,并检查了它们在联网智能家居设置下的安全性假设。作者主要关注两个具体问题:(1) IR 信号是否可以被 IoT 设备嗅探;(2) 哪些信息可以通过嗅探到的 IR 控制信号泄漏出去。
为了回答这些问题,作者在 Raspberry Pi 上使用现成的商用 IR 接收器设计了一个嗅探模块,并证明从智能电视遥控器发出的红外 (IR) 信号可以被附近的物联网设备捕获,例如智能空调,即使该信号并非指向空调。IR信号范围和接收角度比大多数人想象的要大。作者还开发了从嗅探到的红外控制信号中提取语义信息的算法,并通过实际应用进行了评估。结果表明,通过嗅探到的红外控制信号,可以泄露大量敏感信息,包括账户名和密码、PIN码,甚至支付信息。
多年来在改进 IR 技术方面已经进行了积极研究,但作者发现安全方面的研究并不足够。事实上, IR 通信并未被视为有吸引力的攻击目标。首先,红外光会沿直线传播,即使反射一次,信号强度也会减弱。因此,它通常用于 10 米有限范围内的视距 (Line-of-sight) 通信。如果我们没有将红外控制器直接指向电视或距离电视较远,我们可能都有共同的经历,即电视不会响应我们的命令。因此,想要嗅探红外信号的攻击者必须在同一个房间内或者非常靠近受害者。其次,IR 携带的信息通常不敏感,例如电视控制器上的按键,如“UP”和“DOWN”。甚至连IR 遥控信号也未予加密,因此所有命令均以明文格式发送。
然而,作者认为由于最近智能家居设备和应用程序的发展,应该重新审视 IR 的安全模型。首先,如今许多家庭设备已转向物联网 (IoT)。许多物联网设备都支持红外接收器,它们也可以通过互联网进行远程控制。物联网设备在安全方面的声誉也很差,它们很容易受到攻击。因此,为了从 IR 通道窃取信息,攻击者可以远程控制与受害者位于同一房间的物联网设备。其次,现在很多智能家庭设备都为用户提供个性化服务的账户。例如,智能电视可以运行许多像 Netflix 这样的电视应用程序,这些应用程序都需要用户输入帐户信息。而使用红外遥控器输入仍然是主要方法之一。因此,IR 现在有更高的机会携带敏感信息。
作者进行的第一项研究,以通过物联网和智能电视的视角了解红外通信的安全影响。目标是回答两个重要问题:(1) 物联网设备是否有可能嗅探智能电视红外遥控信号,即使它不在电视和控制器之间的路径上?(2) 如果可以嗅探红外信号,攻击者可以从信号中了解到什么?
为了回答第一个问题,作者开发了一个名为HomeSpy 的攻击原型。其攻击流程如图(1)所示。
图(1) HomeSpy的攻击流程如图
令人惊讶的是,作者发现即使是低成本的 IR 接收器,仍然能够感应到偏离路径传输甚至被墙壁反射的 IR 信号,如图(2)所示。然而,这些基础功能的 IR 接收器的灵敏度很有限,且仅仅输出数字信号,导致恢复信息的精度不尽如人意。为了解决这个问题,作者开发了一种新的恢复方法,利用嵌入在 NEC和 Sony SIRC等 IR 协议中的重复信息来纠正恢复错误。根据设计,远程控制协议内置了重复命令的功能,以提高家中目标消费设备的接收质量。这些重复的 IR 信号帮助将精度提高了 5.8%。之后,作者开发了另一个模块来解码命令(例如,“UP”和“DOWN”) 时间序列。特别是,作者构建了一个大型 IR 代码数据库,涵盖 1,303 设备的 75,901 个IR 代码。给予特定 0/1 时间序列,就可以快速识别相应的设备和命令。我们还发现某些 IR 信号存在一命令对多种信息解码的问题,导致命令解释不明确。作者通过上下文感知,时间序列分析和多数表决来解决这个问题。
图(2) HomeSpy在客厅的布局
为了回答关于红外通信信息泄露的第二个问题,作者关注用户试图通过遥控器向智能电视输入的个人信息的情况。大多数电视应用程序都支持使用遥控器输入信息,有些甚至允许在应用程序内购买数字或实体商品。事实上,作者发现用户的电子邮件、密码、PIN 码和支付信息都可以嵌入到 IR 通信中。然而,从“UP”和“DOWN”等 IR 命令中恢复语义(例如密码)并非易事。但关键是用户必须先调出屏幕虚拟键盘,如图(3)所示,其布局变化其实有限,因此 IR 命令和用户选择的字符之间的映射可以先验确定。作者于是开发了一种新颖的语义提取方法来查找与虚拟键盘输入相关的键序列,以恢复用户所输入的敏感信息。
图(3) 五种常用屏幕虚拟键盘
为了评估 HomeSpy的有效性,作者将 IR 嗅探器部署在具有不同大小布局的房间中,如图(4)所示, 并检查不同类型的用户信息(例如电子邮件、密码和 PIN)的推理准确性。首先,作者检查了4种房间布局的共18个位置来安装嗅探器,发现大部分位置都可以正确接收红外键信号(如表(1)所见从74.4%到96.7%不等)。其次,在收集到的5名实验志愿者的数据中,我们发现HomeSpy输出的候选字符串(首5个)对于登录凭证的平均准确率为77%,表明该攻击是可行的。
图(4) 验证HomeSpy的布局
表(1) 在不同布局位置接收红外键信号的准确率
这篇论文总结了以下贡献:
本文提出了在智能家居环境中关于嗅探红外信号的第一项研究。作者表明具有红外接收功能和应用程序的物联网设备可能导致新的安全威胁。
作者构建 HomeSpy攻击原型,其中包含新方法用于红外信号嗅探、命令解码和语义提取,解决多项技术挑战。
作者在现实中测试HomeSpy在多种房间布局和不同类型的敏感信息的嗅探。结果表明 HomeSpy 是有效的。
最后,作者认为在物联网时代,很多智能设备都连接到互联网并支持红外控制器。这意味着本文中提出的不可见的 IR 漏洞将继续导致重大安全威胁。本论文刷新了现有的观点,检验所谓 “简单安全”的红外遥控方案的安全性,提醒公众注意数据的潜在风险通过 Smart TV 的 IR 远程频道泄漏,也希望借此敦促物联网系统供应商提出缓解措施加强保护。
论文下载:https://www.usenix.org/system/files/sec23summer_97-huang-prepub.pdf
还没有评论,来说两句吧...