当前位置:主页 > 国足 >

独家Bitdefender在Wemo Smart Plug中发现安全漏洞

时间:2019-12-12 21:38来源:网络整理编辑:xin

Belkin的智能插头可让您使用智能手机随时随地打开和关闭设备,但Bitdefender在安全性上发现了一些漏洞。别担心,贝尔金已经解决了这个问题。

想象一下。到了晚上,门铃响了。您打开了几盏灯然后去检查,但是当您打开门把手时,您的灯熄灭了,并且有几名入侵者将其推入。好吧,这是不太可能的,但是直到Belkin修复了Bitdefender的安全性团队在Belkin Wemo Insight智能插件中发现了至少一种可能。更有可能的利用包括利用智能插头的使用来监视您的活动和状态,通过打开和关闭灯来恶作剧,或者只是控制设备并将其用作抢滩所有私人数据的滩涂。您的家庭网络。

Bitdefender的物联网安全团队已与PCMag合作,对流行的IoT设备进行了测试。我们让他们知道哪些设备很重要,他们向我们提供了调查结果的详细信息,并且设备背后的公司有机会修复所有安全漏洞。每个人都赢了!上次我们报告了Ring Doorbell中的一个漏洞。这次我们将注意力转向智能插头。

这是什么智能插头?

您将Wemo Insight智能插头插入墙上的插座,将其连接到家庭网络,然后将灯或其他电子产品插入其中。现在,您可以使用iOS或Android手机远程打开和关闭设备。您甚至可以对其进行编程,以使用IFTTT脚本自动执行操作。

该产品在几个方面超越了竞争对手。最值得注意的是,它监视通过插头使用的电源,甚至告诉您它要花多少钱。我们的硬件团队认为适合将其指定为“编辑选择”,因为它比一般的智能插头更智能。但是,安全漏洞并不是那么聪明,因此我们请Bitdefender团队对该小工具进行测试。

安全通讯

如果您希望设备响应来自智能手机的命令,则需要以几种不同的方式进行通信。它自然需要访问您的本地网络。通过本地网络,它必须安全地到达其基于云的控制中心。而且,智能手机应用程序还需要与该控制中心的安全连接。由Level 9001向导领导的Bitdefender团队(通过他的Twitter帐户)Alex“ Jay” Balan仔细检查了所有这些连接并发现了一些好消息。

设备和云服务器之间的通信使用安全的HTTPS,这是一个好的开始。身份验证取决于设备的MAC地址以及密钥。单个命令也使用HTTPS,并且对它们进行了数字签名以防止篡改。

该团队确实发现设备通过不安全的HTTP连接接收到固件更新。这可能是很糟糕的,因为可以想象,攻击者可能会强制实施受损的固件更新,从而完全控制设备。但是,Belkin内置了一种机制,可丢弃所有未经验证的合法固件更新。

智能手机应用程序与云之间的通信也得到保护。每条消息均包含智能手机的唯一ID及其MAC地址。服务器仅接受来自已知设备的命令。MAC地址可以被欺骗,当然,Bitdefender的Balan确认智能手机标识符也是如此。但他指出,攻击者很难拥有与特定设备匹配的有效MAC地址和智能手机ID对。此外,他们也不需要,因为有(或者说是)另一种方式。

滥交

当您在办公室并想要打开客厅灯时,智能手机应用程序会向云发送请求,该请求又会命令插头打开。但是,当您的电话位于本地网络上时,它将跳过云并直接发送请求。实际上,您本地网络上的任何设备都可以向该设备发送命令或向其询问信息,并且这种内部通信不会以任何方式进行加密。

基于这种混杂的交流,团队找到了一种在设备上执行任意代码的方法。它使用所谓的缓冲区溢出来工作。想象一个变量,例如10个字节,然后在内存中添加1,000个字节的可执行代码。攻击将1,010字节的“数据”转储到变量中,并利用自身的漏洞利用覆盖了代码部分。它之所以起作用,是因为有些程序员忘记确保将该变量的所有数据修剪到10个字节,但这经常发生。

在这种情况下,Balan建议攻击者可以向您的网络留下后门。这样一来,您就可以无限制地访问您的设备,文档以及网络上的几乎所有内容。

这仅在攻击者已经以某种方式渗透到您的网络时才起作用。但是,巴兰指出,有很多方法可以做到这一点。Balan说:“人们和供应商仍然没有意识到他们应该将本地网络视为敌对的,就像面对互联网一样。”“我们经常找到突破家庭网络边界的方法。”

五金配件

黑客获得网络访问权是一回事,而让某人在家中对设备进行物理访问又是另一回事。如果发生这种情况,所有的赌注都关闭。入侵者可以通过多种方式来破坏您的安全性,包括入侵Belkin插头。

标签:
分享到:
美图画报
大家都在看

您应该打入可穿戴设备市场吗

消费者已连接到可穿戴配件,该配件可监控从采取的步骤到记录的数小时睡眠等所有过程。硅谷风险投资公司Mayfield Partners投资于知名的消费技术和移动公司,例如Jawbone和Fitmob。随着

2019-12-12 21:04:50        应该,打入,穿戴,设备,市场

Amazon Dash使购物像按按钮一样容易

亚马逊致力于为客户简化购物和运输工作,因此推出了最新的小工具,使从按钮中提取商品的过程变得非常简单。 去年的这个时候,这家科技巨头推出了Dash,这是一种便携式家庭条码

2019-12-12 21:04:47        Amazon,Dash,购物,像按,按钮,一样,容易

小型企业应迁移到云的4个原因

对于小型企业而言,云计算可能意味着巨大的变化。如今,许多小企业主已经实现了这些改变,从硅谷中心的科技初创企业到城市和小镇的家庭杂货店。 如今,美国37%的小型企业已完

2019-12-12 21:04:30        小型,企业,应迁,移到,云的,4个,原因

网易因不测贩卖140万美元游戏角色被起诉

如果您花了140万美元升级的游戏角色被朋友意外地仅以552美元的价格出售,该怎么办?正如网易最近发现的那样,这导致针对允许销售发生的游戏公司以及出售角色的朋友的诉讼。据

2019-12-12 21:04:20        网易,意外,出售,万美元,游戏角色,起诉

为什么您的下一个创业公司应该专注于医疗保健

故障在医疗系统中存在,特别是在病人护理的效率和准确性。但这为富有进取精神的企业家提供了通过技术填补这些空白的机会。根据美国劳工统计局的数据,1月份医疗保健就业人数

2019-12-12 21:04:14        为什么,您的,下一个,创业,公司,应该,专注,医疗保健
最新文章
跑步美图
精华推荐
跑步视频
大家都在搜
/ / / / / / / / / / /
为你推荐

Copyright © 2010-2015 tiqiu.com ALL Right Reserved 版权所有 闽ICP备16003927号-1