近年来,曾经只能在电影中看到的场景逐渐在我们生活中发生。清晨起床时间,窗帘缓缓打开,卧室自动播放起床音乐,同时夜间安防系统自动撤防。出门前,只要开启离家模式,空调、窗帘、音乐以及灯光照明等都将自动关闭,智能门锁、智能门铃等安防系统自动开启。回家前,只要在智能APP 上开启“回家模式”,空调、热水器等电器设备便可提前运行。回到家,指纹开锁的瞬间,安防系统便自动撤。这场景中描述的生活离不开智能设备,不过在体验新鲜和便利的同时,这些智能设备是否真正安全可靠,还需要打个问号。智能门锁是否会为别人打开、智能家电是否会听从他人命令这些问题都有待考证。基于对智能设备安全性的探究,本手册着眼于智能设备的分析方法,旨在为智能设备安全研究人员、开发人员提供参考。
本手册总体可分为两大板块共九个章节。
第一个板块包括第一章节,总体介绍了为什么智能设备的安全需要引起我们的注意并投入精力去研究,以及以智能设备系统架构为导向的研究方法。
第二个板块包括第二章到第九章,全面介绍了智能设备的安全分析过程、破解案例以及安全建议。
第二章,主要介绍硬件安全分析,包括PCB 安全隐患和加固建议、侧信道攻击和中间人攻击的基本原理及加固方案。
第三章,固件安全部分,提供固件获取的几种思路及相应加固办法,固件解包工具介绍演示。
第四章,从分析环境、模拟运行、设备调试三方面介绍智能设备的调试技术。
第五章,关注通讯协议,包括载波分析、两种无线协议ZigBee 和蓝牙的测试方法。
第六章,移动终端 APP 安全分析,分别介绍在 Android 和 IOS 平台上的分析技术。
第七章,本章节通过命令注入、未授权访问、XSS 的案例提供一些智能设备中WEB 安全测试的思路。
第八章,包括口令破解的方法,二进制漏洞静态分析、模糊测试的简单介绍。
第九章,介绍业务逻辑中可能出现的两种漏洞。