物联网(IoT),如智能家居锁和医疗设备,主要依靠蓝牙低能耗(BLE)技术来运作,并跨其他设备连接,降低能耗。随着这些设备越来越普及,连接水平越来越高,加强物联网的安全性也变得至关重要。由新加坡科技与设计大学(SUTD)助理教授Sudipta Chattopadhyay领导的研究团队,与来自SUTD和信息通信研究所(I2R)的团队成员一起,设计并实施了Greyhound框架,这是一个用于发现SweynTooth--一组11个关键网络漏洞的工具。
他们的研究在2020年7月15日至17日举行的USENIX年度技术会议(USENIX ATC)上进行了展示,他们还被邀请在2020年10月即将举行的新加坡国际网络周(SICW)上进行展示。
这些安全漏洞被发现会影响设备,导致它们崩溃、重启或绕过安全功能。至少有8家厂商的12种基于BLE的设备受到影响,包括几百种物联网产品,包括心脏起搏器、可穿戴健身追踪器和家庭安全锁。
此后,SweynTooth代码已被公开,多家物联网产品制造商已利用该代码发现其产品的安全问题。仅在新加坡,就有32家医疗设备报告受到SweynTooth的影响,而这些设备制造商中的90%后来已经针对这组网络漏洞实施了预防措施。
监管机构包括新加坡的网络安全局和卫生科学局,以及美国的国土安全部和食品和药物管理局都已经联系了研究小组,以进一步了解这些漏洞的影响。
这些机构还发出了公共警报,向医疗设备制造商、医疗机构和最终用户通报潜在的安全漏洞和干扰。研究团队将继续向他们通报最新的研究成果和评估结果。
除了蓝牙技术之外,研究团队还使用模块化的方法设计了Greyhound框架,以便它可以很容易地适应新的无线协议。这使得该团队能够在物联网经常采用的各种协议中进行测试。这种自动化框架也为测试更复杂的协议和物联网在下一代无线协议实现中的安全性铺平了新的途径,如5G和NarrowBand-IoT,这些协议和物联网需要严格和系统的安全测试。
"随着我们向智能国家的转型,未来可能会出现更多这样的漏洞。我们需要开始重新思考设备制造设计流程,以便有限地依赖蓝牙等通信模块,以确保在设计上实现更好、更安全的智能国家。"来自SUTD的首席研究员Sudipta助理教授解释道。