创脉思 Logo

IoT 设备面临哪些特有的安全威胁(如 DDOS、中间人攻击)?

解读

面试官想确认两点:

  1. 你是否把“IoT 设备”与“手机”区分开——IoT 节点资源极度受限、部署环境不可控、生命周期长达数年,攻击面与手机完全不同;
  2. 你是否能把 Android 生态里的安全机制(SELinux、Keystore、OTA、Trusty TEE)映射到 IoT 场景,给出可落地的加固思路。
    回答时先按“威胁→成因→Android/嵌入式对策”三段式展开,再补一句“国内合规”收尾,既体现技术深度,也体现本土落地经验。

知识点

  1. 资源受限:MCU 主频 < 200 MHz、RAM < 512 kB、无硬件加密单元 → 无法跑完整 TLS 栈。
  2. 物理暴露:户外摄像头、共享充电宝、智能门锁,攻击者可拆机、飞线、低温攻击。
  3. 长生命周期:出货后 5~8 年不升级,Android 官方只承诺 3 年补丁,厂商需自建 OTA。
  4. 通信异构:Wi-Fi、BLE、Zigbee、NB-IoT、LoRa、UWB,每种协议栈都有私有扩展,漏洞丛生。
  5. 国内合规:工信部《物联网卡安全管理办法》、市监总局《智能门锁国标 GA 374-2019》、网信办《关键信息基础设施安全保护条例》均要求“可远程补丁、可认证接入、可溯源数据”。

答案

IoT 设备面临的特有安全威胁可归纳为六类,每类给出 Android/嵌入式双视角的缓解方案:

  1. 大规模 DDoS(Mirai 变种)
    成因:默认 Telnet/SSH 密码未改,BusyBox 被爆破后植入僵尸程序。
    对策:

    • 关闭所有调试口,Android Things 采用“无 ADB 生产固件”;
    • 在 init.rc 中把不必要的网络守护进程裁剪掉,用 SELinux neverallow 规则固化;
    • 国内运营商侧启用 IoT 卡访问白名单,只允许连接厂商 APN+OTA 服务器。

  2. 中间人攻击(BLE 明文配对、MQTT 1883 端口)
    成因:轻量级协议为了省电取消加密。
    对策:

    • BLE 侧强制使用 LE Secure Connections + ECDH,Android 侧用 CompanionDeviceManager 绑定;
    • MQTT 走 TLS-PSK,预置证书放在 TEE 的 RPMB 分区,防止固件提取;
    • 国内场景再加 SM4/SM2 双证书,过密评。

  3. 固件逆向与后门植入
    成因:固件包从官网可下载,升级包未签名或只 CRC32。
    对策:

    • 采用 Android Verified Boot 2.0,vbmeta 公钥烧写 eFuse,关闭 avb 的 --disable-verification 编译开关;
    • 升级包使用 A/B 无缝更新 + 增量包,签名算法 RSA-4096 + SHA-256,国内版本再套一层国密 SM2 签名;
    • 把 bootloader 解锁指令藏在云端,需要工单+SN+动态 Token 才下发,防止二手市场刷机。

  4. 侧信道与故障注入
    成因:设备暴露在户外,攻击者可低温、电压毛刺跳过安全启动。
    对策:

    • 主控选型带 PUF(物理不可克隆)或 TrustZone,密钥在 PUF 中衍生,不在 Flash 存明文;
    • Android KeyMint HAL 把密钥绑定到设备状态(bootloader 锁+OS 版本),回滚即失效;
    • PCB 做网格地线+环氧树脂灌封,拆机即自毁。

  5. 云端 API 滥用(撞库、Token 泄露)
    成因:App 把设备 Master-Token 硬编码在 assets。
    对策:

    • 采用 Android SafetyNet+服务器挑战,确认 Token 来自正版 App;
    • 设备侧用 OAuth2.0 动态申请 JWT,有效期 2 h,刷新令牌存 Keystore,不允许导出;
    • 国内对接工信部“物联网卡实名制平台”,SIM 卡号与设备 SN 绑定,异常流量直接断网。

  6. 供应链污染(SDK 预留后门)
    成因:第三方语音模组 SDK 把调试日志通过 UDP 外发。
    对策:

    • 在 CI 阶段用 Android 的 gradle 插件做静态扫描(如 Tencent Blade),把含 log.*、Runtime.exec 的函数标记为高危;
    • 所有外发域名走厂商自研白名单 DNS,解析失败即告警;
    • 与芯片厂签《安全责任状》,出货前由第三方渗透机构做源代码级审计,报告留档备查。

拓展思考

如果面试官追问“资源只有 256 kB RAM,跑不了 TLS,怎么办?”
可答:

  1. 用 AES-CCM 预共享密钥,密钥在产线通过 QR 码安全导入,扫码后立刻擦除;
  2. 用 CoAP+OSCORE,协议栈 12 kB,握手 0 RTT;
  3. 把 Android 手机当“安全网关”,IoT 节点只跑 BLE Mesh,所有出网流量由手机侧 VPN 代理,既满足国密又省资源。

这样回答既展示了对极端受限场景的工程妥协,也体现了 Android 生态在 IoT 中的“网关化”价值,容易拿到高分。

题目导航
上一题:如何在设备无屏幕的情况下确认升级成功或失败?下一题:如何为 IoT 设备实现安全启动(Secure Boot)和可信执行环境?