最近，许多读者对如何退出小米手机的安全模式有疑问。有网友整理了相关内容，希望能回答你的疑惑。小米手机如何退出安全模式？，这个网站也为你找到了问题的答案，希望对你有所帮助。

物联网安全要点

IoT 安全事故一直在一个接一个地发生。原因是黑客仍然使用Web开发时代的经典漏洞。但物联网有四个特点:24小时联网，安全防护脆弱。Botnet(对应中文名词“僵尸网”)攻击成本低，安全责任归属难以澄清，成为黑客喜爱的好目标。接下来，让我们回顾一些重大案件。

1 物联网安全事故

1.1 Mirai 僵尸网络

Mirai 是由 Paras Jha，Josiah White和Dalton Norman 三名美国年轻人(当时才20-21岁)创立，这是一种针对操作的操作 Linux 智能设备的操作系统和恶意软件的网络设备。最初的设计目标是物联网设备，如路由器、数字视频录像机和IP摄像机。攻击成功后，它们变成了“僵尸”，成为一群可以攻击其他网站或网络基础设施的数字机器人大军。

Mirai横扫世界

自2016年9月 Jha 发布在黑客论坛上 Mirai 在源代码之后，从那时起，其他罪犯就习惯于从这个代码开始创建大量的僵尸网络，其中大多数都是一样的，只是偶尔添加新的和更复杂的攻击工具，捕获更多种类的物联网产品。比如2019年1月发现新的 Mirai LG智能电视和WePresent在企业环境中也可以扫描和利用。 无线演示系统。比如2019年1月发现新的 Mirai LG智能电视和WePresent在企业环境中也可以扫描和利用。 无线演示系统。

Mirai 横空的出现表明 DDoS 新的转折点出现在攻击活动中：物联网僵尸网络已经成为这种攻击的主力军。据安全人士测量，2016年11月的巅峰时期，Mirai 物联网设备控制了60多万个漏洞。

因此，一些安全人士建议物联网制造商在生产产品后改变一切的做法，而是改变商业模式，采用订阅系统模式，继续提供服务，并承担产品安全保护的责任。从业人员还应避免购买大量生产但没有后续维护的物联网产品，以防止其成为 Botnet 下手的好目标。

2016年9月20日，Mirai攻击了欧洲最大的托管服务提供商之一法国OVH公司，突破DDOS攻击记录，攻击量达到1.1Tpbs，最大达到1.5Tpbs，由145、000个IOT设备共同发起。OVH创始人表示，这些攻击是针对OVH的 Minecraft(沙盒建造游戏，中文名为“我的世界”)服务器。

2016年10月21日，Botnet 大军攻击美国的名字 Dyn 网络基础设施公司，许多美国主流互联网公司的网站瘫痪，包括Github、Twitter、Netflix、Reddit、PayPal。浅黑科技史上用诗情画意的语言描述了美国大断网事件:

这是一个漫长的白天，攻击潮已经来了三次，每次持续大约一个小时。随着网络服务的断断续续，美国东海岸陷入了9月11日之后最大的“互联网恐怖袭击”。这显然是一场灾难，因为整个美国在这次攻击面前没有能力像婴儿一样反击。
直到尘埃落定，人们才知道这次野蛮的攻击来自世界各地的网络摄像头和路由器。是的，你说得对，是那些坐在你客厅桌子上看起来“人畜无害”的小东西。它们静静地躺在主人家里，只通过一根网线与外界相连。然而，正是这条小网线成了黑客控制木偶的“提线”。
一种神秘的病毒，沿着网线进入无数家庭的大门，入侵了数百个摄像头。这些硬件在主人眼里并没有什么不同。然而，他们的指示灯似乎变成了红色的眼睛，就像被感染的僵尸一样，在赛博世界转动枪头，疯狂地向互联网吐出新的病毒。
就这样，地球上数十万的硬件设备形成了巨大的“僵尸网络”。僵尸网络就像一群食人蚁。他们发出的垃圾访问整齐统一，在网络世界左右奔流。无论他们走到哪里，网络都会瘫痪，草也不会生长。
历史上，浅黑科技《黑客滑铁卢-美国大断网全纪实》

Mirai Botnet

根据OVH和Dyn的报告，这些攻击的流量峰值超过1Tbps，这是已知攻击中最大的攻击流量。最引人注目的是，这些流量是由小型物联网设备发起的，如家用路由器、空气质量探测器和个人监控摄像头。

FBI和全球安全研究人员还没有找到罪魁祸首，但情节仍在继续。仅仅一个月后，新的恐慌就来了——病毒的变种到处开花。2016年11月28日，德国电信 Telekom 路由器被大规模入侵，德国2000万台路由器被入侵，90万台路由器在感染过程中直接崩溃。这次攻击几乎影响了所有德国人，引起了极大的恐慌。与此同时，世界各地产生了无数 Mirai 像僵尸一样传播新的变种。直到2017年5月 FBI 找到并指责三个年轻人。

德国有8000万人口和4000万家庭。就在那次袭击中，德国电信（Telekom）2000万家庭路由器被黑客攻击，其中许多被黑客控制。90万台服务器直接停机。互联网的光线就像被榴弹击碎的灯，在这些家庭的窗户里熄灭了。
德国在黑暗中沉入大西洋。
屠杀持续了三天。情况之悲，堪比1939年纳粹德国闪击波兰，只是历史调皮地改变了主角。
在这三天的“路由器激战”中，双方打得昏暗，用户想正常上网简直就是痴人说梦。德国电信不得不宣布，因某种原因不能上宽带网的家庭，可以免费获得4G网卡免费券，临时使用手机网络“续命”。
历史上，浅黑科技《黑客滑铁卢-德国陷入全纪实》

Mirai工作原理

从核心功能来看，Mirai是一个 蠕虫可以自我传播，也就是说，它是一个恶意程序，通过发现、攻击和感染物联网设备的漏洞来实现自我复制。Mirai也是一个僵尸网络，因为它将由一组中央命令控制（command andcontrol，C&C）用于控制感染设备的服务器。这些服务器将告诉感染设备下一步要攻击哪些网站。总的来说，Mirai由复制模块和攻击模块两个核心组件组成。

Mirai的复制模块

Mirai复制模块的原理图

复制模块负责扩大僵尸网络的规模，并尽可能多地感染物联网设备。该模块通过扫描整个互联网(随机)来寻找可用的目标并发起攻击。一旦设备有漏洞，该模块将向C&C服务器报告该设备，使用最新的Mirai版本感染该设备，如上图所示。

为了感染目标设备，最初版本的Mirai使用了一组固定的默认登录名和密码组合凭证，包括64个常用的物联网设备凭证。尽管这种攻击方法相对较低，但事实证明，这种方法非常有效，Mirai通过这种方法获得了60多万个设备。

Mirai只有64个默认登录名和密码才能感染6万个物联网设备。

攻击模块

C&C服务器负责指定攻击目标，攻击模块负责DDOS攻击，如下图所示。该模块实现了UDP泛洪等大部分DDOS技术（UDPflood）HTTP泛洪攻击，以及所有TCP泛洪攻击技术。Mirai拥有多种模式的攻击方法，使其能够发动能力耗尽攻击（volumetricattack）、应用层攻击（application-layer attack）TCP状态表耗尽攻击（TCP state-exhaustion attack）。

Mirai攻击模块的原理图

通过对Mirai源码的分析，发现了以下技术特点：

1)中央服务器C&C感染(这个服务叫Load)，而不是僵尸自己感染。

2）Josiah White写了一个精美的扫描器，用高级SYN扫描，一次可以发出几千。 SYN 包，扫描速度提高了数百倍，大大提高了感染速度。

3）强制清除其他主流物联网僵尸程序，杀死竞争对手，独占资源。例如，清除QBOT、Zollard、Remaiten Bot、anime Bot和其他僵尸。

4)一旦通过Telnet服务进入，Telnet服务和其他入口(如SSH22端口和Web80端口)将被迫关闭，这些服务将被占用，以防止这些服务复活。

5）过滤掉通用电气、惠普、美国国家邮政局、国防部等大型公司和组织的IP，避免麻烦。

6)独特的GRE协议洪水攻击增加了攻击力度。

7)由于Mirai无法将自己写入物联网设备固件中，只能存在于内存中。因此，一旦设备重启，Mirai的bot程序就会消失。为防止设备重启，Mirai将控制码发送给看门狗 0x80045704 禁用看门狗功能。这是因为在嵌入式设备中，固件会实现一种叫看门狗的功能，一个过程会不断向看门狗的过程发送字节数据，这个过程叫喂狗。如果喂狗过程结束，设备将重启，因此为防止设备重启，Mirai关闭了看门狗功能。该技术常被广泛应用于嵌入式设备的攻击中，如海康威视的漏洞（CVE-这种防重启技术用于攻击代码中的2014-4880)。

小结

Mirai僵尸网络的感染对象已从网络摄像头、路由器、家庭安全系统扩展到智能电视、智能可穿戴设备甚至婴儿监视器。任何与互联网连接的物联网设备都可能成为潜在目标，普通用户很难注意到该设备已被感染。由于所有密码都固化在物联网设备固件中，即使Mirai在重启后从内存中消失，也无法消除二次感染。建议开发人员通过端口扫描工具检测自己的设备是否打开SSH，Telnet，HTTP如果条件允许，请禁止SSH和Telnet服务/HTTPS服务。

1.2 海康威视设备安全事件

2015年2月27日中午，江苏省公安厅发布《关于立即对全省海康威视监控设备进行全面检查和安全加固的通知》，称接到省互联网应急中心的通知后，杭州海康威视数字技术有限公司在江苏省各级公安机关使用的监控设备存在严重安全隐患，部分设备已被海外IP地址控制，要求各地组织力量对使用的海康威视设备进行全面检查，进行安全加固，消除安全漏洞。

随后，海康威视正式发布了《海康威视关于“设备安全”的说明》，称江苏省互联网应急中心通过网络流量监控在互联网上发现了一些海康威视设备（包括使用产品初始密码或其他简单密码，如123456、888888、黑客攻击admin等问题，将组织专门的应急技术团队，帮助各城市修改产品密码和升级固件。

3月2日，海康威视召开投资者信息披露电话会议，总经理表示：“我们不知道其他制造商。

3月2日，海康威视召开投资者信息披露电话会议，总经理表示：“我们不知道其他制造商。海康主动披露了两个缺陷。第一个是弱密钥问题，可以通过修改密码来解决；二是12月5日，我们披露了RTSP（实时传输协议）可能存在的安全风险。目前，通过更改密码和系统升级，可以解决公司产品的安全漏洞和安全隐患。“这一次，江苏省公安厅科技信息办公室发布文件的原因是，少数监控设备不是普通家庭，而是公安系统自用的监控设备，也由海外IP地址控制。经调查，海康威视发现，由于使用互联网宽带服务进行城市治安监控，来自公安系统的监控设备很可能暴露在黑客攻击范围内。

1.3 Ripple20事件

2020年6月16日(上个月的事！），以色列网络安全公司JSOF宣布，研究人员在Treck，Inc.开发的TCP/IP软件库中发现了19个0day漏洞，这一系列漏洞统称为“Ripple20”。全球数亿台（甚至更多）IoT设备可能会受到远程攻击。

研究人员表示，他们将这19个漏洞命名为“Ripple20”并不是说发现了20个漏洞，而是因为这些漏洞将在2020年及以后的IoT市场中连锁引发安全风暴。更糟糕的是，研究人员指出，目前发现的19个“Ripple20”零日漏洞可能只是冰山一角，而且攻击者的恶意代码可能会在嵌入式设备中潜伏多年。

JSOF对Ripple20的安全通告

漏洞详情

漏洞存在于一个90年代设计的软件库里——物联网开发商广泛使用的，由一家总部位于辛辛那提的软件公司Treck在1997年开发的TCP/IP软件库，它实现了轻量级的TCP/IP堆栈。在过去的20多年间，该软件库已经被广泛使用并集成到无数企业和个人消费者设备中。

JSOF研究实验室的研究人员称，

受影响的硬件几乎无所不在，包括从联网打印机到医用输液泵和工业控制设备的海量设备。

这19个漏洞都是内存损坏问题，源于使用不同协议（包括IPv4，ICMPv4，IPv6，IPv6OverIPv4，TCP，UDP，ARP，DHCP，DNS或以太网链路层）在网络上发送的数据包的处理错误。

潜在风险
• 仍在使用设备时，Ripple20构成重大风险。潜在的风险场景包括：

如果面向互联网，则来自网络外部的攻击者将控制网络中的设备；

已经设法渗透到网络的攻击者可以使用库漏洞来针对网络中的特定设备；

攻击者可以广播能够同时接管网络中所有受影响设备的攻击；

攻击者可能利用受影响的设备隐藏在内网中；

• 复杂的攻击者可能会从网络边界外部对网络内的设备进行攻击，从而绕过任何NAT配置。这可以通过执行MITM攻击或dns缓存中毒来完成；

在某些情况下，攻击者可能能够通过响应离开网络边界的数据包，绕过NAT，从网络外部执行攻击；

在所有情况下，攻击者都可以远程控制目标设备，而无需用户干预。

Treck于2020年6月22日已经发布了补丁，供OEM使用最新的Treck堆栈版本（6.0.1.67或更高版本）。现在的主要挑战是如何让全球如此多的企业尽快修复漏洞，尤其是很多IoT设备无法安装补丁程序。针对此重大风险，IoT设备开发者应当迅速行动起来。

安卓设备不用担心。主要是RTOS。嵌入式产品是重灾区。

1.4 其他智能设备漏洞事件

儿童智能手表

由于终端与云端通讯时的Web API存在经典漏洞，所以安全公司曝光全球范围内很多儿童智能手表供应商普遍存在安全防护问题，包括中国、德国、挪威等供应商，估计至少有 4700 万甚至更多数量的终端设备可能受此影响。

安全公司发现，其中一家厂商的产品（包括贴牌生产的）与云平台通讯的时候，所有的通讯请求均为未加密的明文JSONAjax（一种轻量级的数据交换格式）请求，传输信息附带指定的 ID 号和默认密码 123456，对调用的合法性也没有做动态校验，给黑客控制儿童智能手表提供了机会。

2018 年 5 月，深圳市消委会曾牵头编制发布《深圳市儿童智能手表标准化技术文件》，试图从产业链层面解决行业无标准、无监管以及山寨杂牌横行的乱象，文件里概括性提到了在终端、客户端、安全管理平台、数据传输等层面的信息安全要求。

电动踏板车

小米M365电动踏板车可以通过蓝牙与手机APP完成交互，蓝牙通信使用密码加密，以确保远程交互的安全性，但是安全人员发现，在交互认证过程中，该密码并没有被正确的使用。Zimperium zLabs的研究员Rani Idan 在报告中称，“我们确定密码没有被正确地用作滑板车的认证过程的一部分，并且所有命令都可以在没有密码的情况下执行，密码仅在应用程序端验证，但车本身不验证身份。” 于是安全人员开发了一个专门的验证应用程序，可以扫描附近的小米M365踏板车，并使用踏板车的防盗功能锁定它们，无需密码认证。

2 物联网脆弱之处

如前所述，为什么IoT设备会如此容易受到攻击呢？大致总结四点：

一）设备本身并不集成安全机制。不像手机、笔记本、台式机，IoT的操作系统基本上没有什么防护能力。原因就在于设备集成安全机制的成本太高，还会减缓开发流程，有时候甚至会影响设备性能，如运行速度和容量。

二）设备直接暴露在互联网公网中，同时还可以作为内网的一个中转点，给不法之徒开了后门。

三）设备中含有基于通用的、Linux驱动的硬件和软件开发过程中留下的非必要的功能。设备应用引用的公共类库，可能年代久远、漏洞满身。存在漏洞的软件库不仅由设备供应商直接使用，还集成到大量其他软件套件中，这意味着许多公司甚至都不知道他们正在使用存在漏洞的代码。

四）默认的身份信息是硬编码的。这意味着插入设备就可以运行，而不会创建唯一的用户名和密码。甚至根证书、密钥等机密信息也都以文本文件的形式烧入固件之中。

3 我们的防范措施

措施主要分为三类：管理、硬件、软件。

管理方面的防范措施：

从项目立项、配送、绑定、激活，到正式投入使用以及后期的回收、报废，都是基于一套完整的中台系统，方便跟踪设备流转的整个链条，确保设备流转安全。

通过监控设备坐标位置、定期自动排查偏离校区的设备，确保设备应用在校园封闭式环境中。

按餐饮中心维度监控设备上的流量、网络请求、应用安装等情况，可以排查恶意使用行为和异常流量。

对设备的运行情况、流量、异常信息、软硬件使用情况监控汇报，实时分析和度量设备的健康度。

硬件及存储方面：

采用安全级处理器，具备加密引擎、SecureBoot、TrustZone。

采用业界领先的3D结构光摄像头，可实现金融级安全，确保支付安全。

接口安全：①调试串口隐藏不外露，且默认禁用；②I2C/SPI/MIPI等总线接口隐藏，在PCB内层；③JTAG/SWD接口隐藏不外露，且默认禁用；④USB/UART或者其他编程接口关闭。

设备具有唯一的识别号（设备SN号），便于个性化安全管控。

系统及接口方面：

基于安卓系统定制安全系统，用自定义的签名文件作为系统签名。

系统禁用root权限，关闭开发者模式。

关闭了 ADB 服务接口、USB 调试接口、WIFI 等接口。

开启 SE 安全模式，尝试TEE运行安全区，防止没有启用 SeLinux 使得设备陷入远程代码执行、远程信息泄露、远程拒绝服务等危险之中。SeLinux 是 Security Enhanced Linux 的缩写。TEE 是 Trusted ExecutionEnvironment 的缩写。

启用SECURE BOOT，并校验uboot、boot、system分区。防止被黑客刷入恶意篡改的固件或分区镜像，植入木马从而被远程控制。

固件支持远程OTA，且OTA有加密加签的安全校验机制，确保升级过程的安全性。

系统内置自定义的安全桌面，屏蔽第三方恶意应用安装，杜绝软件风险。

需要凭“设备授权码”才能修改系统配置，包括修改网络配置等。

软件方面：

自主授权和签名方式，有效防止非法第三方应用安装所带来的风险。

应用关键信息so库化，防止反编译带来关键信息泄露的风险。

应用目录权限严格遵守安卓系统规范。

应用通信基于HTTPS（HTTP通讯模式下），和MQTT+TLS 1.3（物联网通讯模式下）。

4 本章小结

本章主要介绍了IoT设备近期发生的几起危害遍及全球的大案，从中我们可以发现IoT设备安全性薄弱之处，从而可以有针对性地在设备管理、硬件和存储、系统和软件这三个层面上做出防范措施和规范流程。

注：本文源自《禧云IoT平台技术白皮书》，为禧云信息内部编著的技术交流资料。????