青莲晚报(第六十九期)| 物联网安全多知道 – 作者:qinglianyun

微信公众号-青莲晚报封面图-64.jpg

CVE-2020-6007:Philips智能灯泡安全漏洞


攻击者有上百种方法来黑进你的WiFi网络,包括通过连接到WiFi网络的计算机、智能手机和其他智能设备。

近年来,研究人员发现大多数的智能设备并不安全,很容易就会被远程攻击者利用,在无需破解WiFi密码的情况下就可以入侵到连接的网络。

近日,Check Point研究人员发现了一个影响Philips Hue智能灯泡的高危安全漏洞,攻击者利用该漏洞可以在100米外通过OTA的方式入侵目标WiFi网络。

该漏洞CVE编号为CVE-2020-6007,存在于Philips在智能灯泡中实现zigbee通信协议的方式中,引发了一个基于堆的缓冲区溢出问题。

ZigBee是一个使用管饭的无线技术,可以让网络中的设备与其他设备进行通信。该协议用于上千万无线设备中,包括亚马逊智能音箱、三星智能设备等。

Check Point研究人员确认缓冲区溢出发生在一个名为bridge的组件中,该组件负责接收其他设备通过zigbee协议发送给智能灯泡的远程命令。攻击者利用该漏洞可以在100米之外通过OTA的方式入侵家用或办公用计算机网络,传播勒索软件或****。

详文阅读:https://www.4hou.com/posts/lM41

 

三菱电机遭网络攻击


日本国防承包商三菱电机表示,受大规模网络攻击影响,个人及客户等信息可能外泄。据分析,中国网络黑客组织可能参与了攻击。遭到非法访问的电脑和服务器中没有包含关于防卫及电力、铁路等基础设施运用之类机密性高的信息,这些信息没有泄露。三菱电机表示,“未确认到”网络攻击导致的“受害及影响”。去年 6 月三菱电机国内服务器等设备被发现可疑迹象。公司实施内部调查,在总部・事业总部的大部分和总公司管理部门发现非法访问现象。据称由于非法访问的手法巧妙,调查持续至近期。

详文阅读:

https://www.solidot.org/story?sid=63311

 

黑客泄露 51 万服务器路由器的 Telnet 密码


一名黑客泄露了 51.5 万服务器、路由器和物联网设备的 Telnet 密码。黑客称这些数据是通过扫描设备暴露的 Telnet 端口编辑而成,黑客尝试了 1)出厂时默认的用户名和密码;2)简单的密码组合。这些密码列表是一名 DDoS booter 服务的维护者公布在网上的,这名泄露者称他升级了 DDoS 服务,从物联网僵尸网络转到租赁云服务商的高吞吐服务器。

详文阅读:

https://www.solidot.org/story?sid=63305

 

车联网安全系列——特斯拉iBeacon隐私泄露

Tesla电动汽车通过颠覆性的创新能力, 使其迅速成为新能源汽车的领导者. 而作为毫无根基的后来者, Tesla电动汽车将安全性、智能化、可靠性完美融为一体. 甚至公司创始人Elon Musk自信地称其为 “A sophisticated computer onwheels”.

当然作为业界的翘楚, 自然会吸引很多人的兴趣, 其中也包括黑客群体. 在刚刚落幕的德国黑客大会36C3上, 安全研究员 MartinHerfur就对 Tesla Model 3提出了隐私泄露隐患的质疑.

Martin研究发现Tesla Model 3 通过蓝牙频道不断对外明文广播一组特殊的ID号. Tesla将这组ID号作为实现手机APP门禁系统的重要参数. 然而用户并没有权限改变或者关闭这组特殊ID号, 这就给有心人士造成了可趁之机. 只要通过扫描捕捉这组ID号, 就可实现对TeslaModel3车主的跟踪, 从而对车主的个人隐私造成困扰.Martin还特意写了一个测试APP (特斯拉雷达). 并搭建了全球特斯拉监测平台. 感兴趣的读者可以到teslaradar.com去了解更多的信息.

个人隐私问题在资讯发达的今天显得尤为突出. 商家在个人隐私保护方面是否足够重视, 也成为人们评价一款产品优秀与否的标准之一. 美国加州立法委员会甚至将其列在了《加州物联网网络安全法案》中. 而各类车联网产品是否存在隐私泄露问题, 也是非常重要的检测环节. 因此当听说了这个Tesla Model 3隐患后, 立刻引起重视并作了深入的研究.

详文阅读:

https://www.anquanke.com/post/id/197750

 

境外黑客组织未攻击我国视频监控系统,但确给我们敲响了警钟


据国家网络与信息安全信息通报中心监测发现:此前,有组织发布推文扬言将于2月13日对我国视频监控系统实施网络攻击破坏活动,与此同时,有“匿名者”黑客声称已掌握我境内大量摄像头控制权限。而这并不是小事!万物互联之下,物联网成攻击入口,一个小小的设备,或将能引发全国设备宕机的重磅危机!这不是危言耸听,2016年10月美国遭遇史上最大一次IOT网络攻击,致使整个东海岸大断网。尤其在这个特殊紧急时期里,在这个前有印度APT组织,趁火打劫定点攻击我国医疗机构;后又有境外黑客大放厥词,公然宣布欲攻击我国IOT设备的特殊当下,严守网络空间变得比以往更加形势紧迫与重要。

真是一波不平,一波又起!
这一次告急的全国视频监控系统!

详文阅读:

https://www.secfree.com/17021.html

来源:freebuf.com 2020-02-17 15:37:40 by: qinglianyun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论