标签: 安全隐患

物联网设备存在较大安全隐患 专家可轻松掌控 Smarter 咖啡机

尽管名称为“Smarter”,但这家主打互联网连接的厨房电器制造商并不意味着比传统电器公司更聪明。早在 2015 年,Smarter 的产品就曾曝光过安全问题,当时总部位于伦敦的安全公司 Pen Test 发现,可以恢复初代 Smarter iKettle 咖啡机中使用的 Wi-Fi 加密密钥。随后团队还发现第二代 iKettle 和其他 Smarter 旗下的咖啡机存在其他问题,包括没有固件签名,芯片组 ESP8266 内部没有可信的安全区域(Enclave)等等。   两年前,Smarter 发布了 iKettle 3 和 Coffee Maker version 2,为 Pen Test 合作伙伴工作的研究专家 Ken Munro 表示更新后的产品使用了新的芯片组,修复了这些问题。但是他表示,Smarter 从未发布过CVE漏洞的指定,也没有公开警告客户。 安全公司 Avast 的研究专家 Martin Hron 对其中一台老式咖啡机进行了逆向工程,看看他能用它做什么样的黑客。经过一周多时间的努力,Hron 发现可以做到的事情有很多,包括触发咖啡机的加热器、出水、旋转磨豆机、显示赎金信息,反复发出哔哔声。而消费者停止这一切的唯一方式就是拔掉电源。   Hron 在接受采访时说:“这样做是为了指出,这种情况确实发生过,而且可能发生在其他物联网设备上。这是一个开箱即用(out-of-the-box)的问题的好例子。你不需要配置任何东西。通常情况下,厂商不会考虑到这一点”。 当 Hron 第一次插上他的Smarter咖啡机时,他发现它立即充当了一个Wi-Fi接入点,使用不安全的连接与智能手机应用进行通信。该应用程序则用于配置设备,如果用户选择,则将其连接到家庭Wi-Fi网络。   但这些破坏力还不够,于是他又检查了咖啡机用来接收固件更新的机制。结果他发现这些更新是从手机上接收的,而且是没有加密、没有认证、没有代码签名。这些明显的疏漏恰恰为Hron创造了机会。由于最新的固件版本存储在Android应用中,他可以将其拉到电脑上,并使用 IDA (一种软件分析器、调试器和反汇编器)进行逆向工程,找到了人类可读的字符串。Hron最终获得了足够的信息,写出了一个 python 脚本,最终实现了上述入侵。     (稿源:cnBeta,封面源自网络。)

因无线配对协议错误 谷歌宣布召回 BLE 版 Titan 安全密钥

Titan安全密钥是由谷歌推出的一款防范网上诱骗的双重身份验证 (2FA) 设备,内置硬件芯片,其中包含由 Google 设计的固件,用于验证密钥的完整性。它主要为IT管理员这样的高价值用户提供妥善的安全保护,并防范账号被盗用。不过近期谷歌发现Titan存在安全隐患,允许攻击者在物理接近的时候访问安全密钥或者和它配对的设备。 由于蓝牙低功耗(BLE)版本Titan安全密钥的无线配对协议中存在错误配置,导致谷歌宣布召回这批设备。当Titan安全密钥和配对的设备进行通信的时候,这个错误允许攻击者在大约30英尺范围内发起攻击。根据谷歌官方的概述: 当您尝试在设备上登录帐户时,通常会要求您按BLE安全密钥上的按钮将其激活。在此时刻身临近距离的攻击者可能会在您自己的设备连接之前将自己的设备连接到受影响的安全密钥。在这种情况下,如果攻击者以某种方式已经获得您的用户名和密码并且可以准确地计算这些事件,则攻击者可以使用他们自己的设备登录您的帐户。 在使用安全密钥之前,必须将其与您的设备配对。配对后,与您近距离接触的攻击者可以使用他们的设备伪装成受影响的安全密钥,并在您被要求按下密钥上的按钮时连接到您的设备。之后,他们可能会尝试将其设备更改为蓝牙键盘或鼠标,并可能会对您的设备执行操作。 如果你手头上就有一个Titan安全密钥,那么可以通过检查设备背面来确认是否受到影响。如果您看到“T1”或“T2”,那么您的密钥会受到影响,您有资格获得免费更换。由于该错误仅影响蓝牙配对,因此安全密钥的非蓝牙版本不受影响。   (稿源:cnBeta,封面源自网络。)

研究表明现有智能家电存严重安全隐患:出厂设置密码可搜索获取

伴随着智能设备在家庭环境中的普及,安全研究人员不断发现隐藏在这些“智能”外衣下严重漏洞。近日来自内盖夫本-古里安大学科研团队的报告指出,大多数设备都是极度不安全的,甚至可能在不到 30 分钟的时间内就完成破解。 该报道的研究人员 Yossi Oren 说道:“真正令人感到恐怖的是,犯罪分子、窥淫癖者或恋童癖者很容易接管这些设备。”团队对 16 种常见智能家电产品进行了测试,包括婴儿监视器、家庭安全摄像头、门铃和恒温器等等。他们发现黑客有很多种方式来入侵这些设备,甚至能够轻松获取恢复出厂设置的密码。 参与该项目的另一位研究人员 Omer Shwartz 说道:“最多不超过 30 分钟,就能找到大部分设备的密码,甚至于部分设备可以通过 Google 搜索该品牌获得。一旦黑客可以访问类似于摄像头等物联网设备,他们就能创造处远程控制所有同类型摄像头的网络。” Oren 说道:“在实验测试环节中,我们可以通过婴儿监视器播放音乐,远程关闭恒温器或者打开摄像头,这让我们对这些消费产品充满了担忧。” 稿源:cnBeta,封面源自网络;

全球扫码支付 90% 个人用户在中国 生活方便但存在安全隐患

目前,全球 90% 的二维码个人用户在中国。对于不少人来说,出门不带现金,手机扫码走天下已成为日常习惯。随着我国二维码产业进入快速发展期,小小二维码的“ 吸金 ”能力也越来越强,有预测,到 2017 年底,中国二维码支付有望突破 9 千亿元市场规模。与此同时,规范行业标准和提升网民二维码安全意识已成为当务之急。 “吃饭、购物、买票都可以扫码,连买糖葫芦都可以扫微信二维码,兜里的现金常常揣了很久花不出去。”北京市民许丽霞对记者说。 事实上,二维码诞生之初,主要用于人、物、事身份识别,以及防伪追溯、信息交换和储存。而伴随着移动互联网的快速发展,二维码也迅速进入人们的生活,扫二维码已成为连接线上线下成本最低的网络接入口。 第 40 次《中国互联网络发展状况统计报告》显示,截至 2017 年 6 月,我国手机网民规模达 7.24 亿,移动支付用户规模达 5.02 亿,线下场景使用特点突出,4.63 亿网民在线下消费时使用手机进行支付,而这其中很多都是通过扫二维码实现的。 中国二维码注册认证中心近期发布的《中国二维码产业发展报告》显示,我国线上移动支付市场交易规模中二维码支付比例越来越高,预计到 2017 年底,二维码支付有望突破 9 千亿元市场规模。报告预测,到 2020 年,全球二维码市场规模将达千亿美元。 生活方便但存严重安全隐患 今年初,四川省西昌市的黄女士在与某 QQ 网友聊天时,不经意间扫了一下对方发来的微信邀请二维码,其捆绑在微信号上的银行卡里的钱就直接被转走了 3000 元。 随着二维码进入老百姓生活的细枝末节,快捷的网络接入功能给大众带来了便利,但同时也带来了潜在的信息安全威胁。 中国二维码注册认证中心执行主任张超表示,广泛应用的 QR 二维码制码技术是开放的,而二维码信息人眼很难识别,其中储存的信息容易被不法分子所利用,常常会出现被篡改、泄露,植入木马病毒或不良信息等严重安全隐患。 近期,社会上还出现了“ 木马+二维码 ”敲诈骗局,手机用户在钓鱼网站上中了木马病毒后,手机会被自动锁屏,并弹出二维码称只有扫码支付多少钱,才能够重新解锁手机。张超认为,规范行业标准、普及二维码常识和提升网民二维码安全意识已成为当务之急。 核心技术与发达国家有差距 随着移动互联网的发展,二维码已成助推数字经济的重要角色。但业内人士也指出,在二维码产业关键环节、核心技术、识别设备等方面依然与技术发达国家存在较大差距,二维码监管方面也有很大欠缺。 张超认为,应尽快建立统一的二维码识别体系,督促相关机构注册和申请唯一二维码身份识别信息;研究并制定基础、技术、应用、管理和服务国家标准;建立二维码评价认证体系,提升行业规范化水平和社会诚信体系建设能力。 稿源:cnBeta,封面源自网络;