我最近一直在研究物联网设备中使用的一些低端 WiFi 模块,例如 TLGUA06 和 ESP2866。
正如预期的那样,可以通过发送解除身份验证帧来解除这些设备的身份验证。这是根据 WiFi 规范。
但是,这两个设备都将重新加入具有相同 ESSID 的开放网络。不需要克隆 AP 的 MAC 或任何东西。
这显然会导致邪恶的双胞胎攻击。结合不安全协议的常见使用,攻击者可以轻松拦截或 MITM 通信。
当您尝试这种攻击时,OSX 会抱怨,许多版本的 Windows 也是如此。我的 iPhone 抱怨,但我的 Android 手机没有。
为什么这些设备不能抵御邪恶的双胞胎攻击?我知道这可能是安全性和可靠性之间的权衡,但没有任何设置或控件可以让制造商选择制造更安全的系统。
我是否错过了为什么这些攻击是可能的另一个原因?
可以使用哪些策略来防御邪恶的双胞胎攻击?
这个答案有两个部分。
大多数浏览器和移动操作系统都将拥有一个 CA 商店,其中包含数十家 CA 公司和数百个用于验证 TLS 的证书。Evil Twin 攻击依赖于您不缓存哪些请求需要 TLS 和哪些证书,因此您可以 MitM 传递没有证书的请求。这个列表会随着时间的推移而更新,但对于轻量级嵌入式系统来说是相当大的。
诸如 Electric Imp 之类的物联网平台使用具有安全存储功能的专用加密协处理器,例如 ATSHA204 或其他 TPM2 类型的芯片。所有请求都通过一个已知的网关(例如 Electric Imp 的 Amazon Bucket)和一个已知的密钥进行路由,然后再发送到更广泛的 Internet。(我相信 Kindle 也可以通过他们的“实验”浏览器做到这一点)。如果握手失败,则断开连接。根据如何完成,服务器端可能能够检测到渎职的证据,并按照您的建议向用户报告不当行为。存储在设备上的密钥对于每个硬件实例可能是唯一的,并且在出厂前已关联/祝福,然后再运送给消费者。
你本质上是在用一个邪恶的双胞胎来换取一个值得信赖的父母,这个父母会代理你所有的交流。
所有出站通信都通过一个已知的端点进行验证,验证更简单。然后,该端点可以向外部资源发出更复杂的请求。对于低带宽请求,它很简单,适用于许多当前的 IoT 应用程序。
此模型的适用性取决于您的应用程序。如果您是天气频道,并且您正在制作根据天气温度改变颜色的设备,那么几乎没有问题。
如果您的设备在收到客户的电子邮件时(例如在宝马汽车中发现)大声读取客户的电子邮件,那么您会非常担心您接触这些数据。几年前,诺基亚在这方面遇到了麻烦。