青莲晚报(第六十一期)| 物联网安全多知道 – 作者:qinglianyun

微信公众号-青莲晚报封面图-58.jpg

三星、LG等智能电视收集敏感数据发给第三方


现在有这么多家庭拥有智能电视,越来越多的设备隐私问题的出现就不足为奇了。最近研究发现,即使处于静默状态的智能设备,仍在收集敏感数据并发送给Netflix的和谷歌等大公司。

据英国“ 金融时报”报道,来自东北大学和伦敦帝国理工学院的研究人员发现了几款智能电视,包括畅销品牌三星和LG,Roku和FireTV在向Netflix和第三方广告商发送位置和IP地址等数据。包括扬声器和摄像头在内的其他智能设备正在向包括微软和Spotify在内的“数十家第三方”发送用户数据。

详文阅读:

https://www.anquanke.com/post/id/187105

 

13家知名品牌的路由器出现漏洞


研究人员测试了13家知名厂商的的小型办公室/家庭路由器和网络附加存储设备,总共发现了125处漏洞

据外媒报道,9月16日,独立安全评估者(Independent Security Evaluators)的研究人员发布相关报告,披露了13种品牌的小型办公室/家庭路由器和网络附加存储设备中的125处漏洞。受到影响厂家包括:巴比禄、群晖科技、铁威马、合勤科技、Drobo、华硕及其子公司华芸科技、希捷、QNAP、联想、美国网件、小米和Zioncom(TOTOLINK)。

报告指出,这些参与测试的设备都含有至少一个允许黑客进行远程shell访问,或管理界面访问的漏洞 (包括跨站点脚本漏洞、操作系统命令注入漏洞和SQL注入漏洞等)。其中,华芸 AS-602T、巴比禄 TeraStation TS5600D1206、铁威马 F2-420、Drobo 5N2、美国网件 Nighthawk R9000及TOTOLINKA 3002RU中的漏洞还允许黑客完全接管设备,且无需经过身份验证。

研究人员表示,与之前的类似调查相比,此次参与测试的设备多了一些安全机制,如ASLR、反逆向工程保护以及对HTTP请求的完整验证机制等。但是,许多测试设备仍缺少基本的Web应用程序保护系统,如CSRF令牌和浏览器安全标头等。

目前,大部分厂商都已对此做出回应,但仍有小部分厂商没有做出任何解释。

详文阅读:

http://www.51testing.com/html/93/n-4462493.html

 

某Telnet后门漏洞影响逾百万台物联网设备


据外媒报道,近日,研究人员在德国电子制造商Telestar Digital GmbH旗下产品发现了两个新漏洞(CVE-2019-13473和CVE-2019-13474)

据了解,黑客能够利用这些漏洞远程控制物联网设备的网络信号,并更改设备名称、窃取音频文件等。受影响的产品为Telestar公司的Imperial&DabmanI和D系列的联网设备,涉及设备的总数已逾百万台。

研究人员发现,在一个与Telestar设备连接的服务器上存在异常:其23号端口有一项未知的Telnet服务。由于该端口正处于活跃状态,且密码安全性不强,黑客能够快速与其建立网络连接,并暴力(brute-force)破解无线电信号。一旦成功侵入,黑客将能够编辑和访问与服务器相连设备上的所有内容。

专家表示,物联网设备上的网络安全隐患应得到重视。目前,Telestar DigitalGmbH已经发布了安全补丁。

详文阅读:

http://mini.eastday.com/mobile/190911195223336.html

 

2013年来物联网设备安全漏洞翻一番


研究公司Independent Security Evaluator(ISE)在2013年发表了一项研究,“SOHOpelesslyBroken 1.0”。该研究调查了13种SOHO无线路由器和NAS设备的漏洞,其中包括Belkin、华硕、TP-Link和Linksys等供应商设备中发现的52个漏洞。如今的后续研究结果显示,2013年接受检测的相同数量的设备现在总共受到125个漏洞的影响。

在他们的最新研究中,有13种现代物联网设备接受了测试。在13个案例中的12个案例中,研究人员设法获得了远程根级访问。发现的其他漏洞包括缓冲区溢出问题,命令注入安全漏洞和跨站点脚本(XSS)错误。

研究人员向设备制造商披露了所有的漏洞。大多数公司已经承认了这个问题,正在努力解决这些漏洞。

ISE的研究人员Rick Ramgattie称,研究结果表明,企业和家庭仍然容易受到攻击,这可能导致严重的破坏,这些问题在任何当前的web应用程序中都是完全不可接受的。今天,安全专业人员和开发人员能够检测和修复大多数这类问题,这些问题是在六年前发现、利用和披露的。但是现在这些漏洞仍然出现在物联网设备中。

详文阅读:

http://baijiahao.baidu.com/s?id=1645461773215534283&wfr=spider&for=pc

 

三星:20 多处安全漏洞影响所有Galaxy 旗舰机型

据国外媒体报道,三星日前证实,发现多处安全漏洞影响Galaxy S8、S9、S10、S10e、S10Plus、S105G、Note9、Note10和Note10Plus等型号手机。

这其中,包括一个非常严重的漏洞(critical vulnerability),以及三个被评为“高危”(high)的漏洞。整体而言,它们涉及到约21个安全问题,其中17个与三星“One”用户界面有关,4个与Android有关。

关于Android的漏洞,谷歌上周已经公布,攻击者正利用谷歌Android移动操作系统中的“零日漏洞”进行攻击,该漏洞可以让他们完全控制至少18种不同型号的手机,包括四个型号的Pixel手机,以及三星Galaxy S7、S8和S9。

至于三星的Galaxy特定安全警告,三星最新的安全维护版本(SMR)现已开始向所有Galaxy设备用户推出。10月份的SMR包括来自谷歌的安全补丁,这些补丁会影响Galaxy10用户以及使用三星早期设备的用户。

此外,还有许多漏洞影响Galaxy8和Galaxy9设备用户。这其中,有一个Galaxy9漏洞被评级为“非常严重”,对Galaxy S9和Note9都有影响。目前,Galaxy9销量约为3000万部,而GalaxyNote9销量约为1000万部,意味着大约有4000万用户受该漏洞影响。

详文阅读:

http://hackernews.cc/archives/27663

来源:freebuf.com 2019-10-21 16:47:38 by: qinglianyun

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论