在过去的一周中,有关“物联网仍然存在问题”的话题得到了一些新闻(先前的问题:
1、2、3 )。 在GPS跟踪器的Web界面,D-Link网络摄像机和中国不同制造商的类似设备中,甚至在通常用于办公室演示的具有无线连接的LCD面板中,都检测到漏洞。
让我们从影响最大设备数量的问题开始:来自中国许多制造商的便携式摄像机,遥控门铃和婴儿监视器。 研究员Paul Marrapeze发现(
新闻 ,简要
报告 ),可以通过对序列号进行排序来未经授权获得对此类设备的访问权,这些序列号是使用简单算法进行编译的。
所有设备共享一个称为iLnkP2P的通用远程控制应用程序。 首次连接时,IoT设备的所有者需要扫描箱体上印刷的条形码或手动输入序列号。 因此,攻击者可以轻松扫描序列号的整个范围,找到可用的设备并使用默认的登录名和密码访问它们。
即使所有者更改了密码,在某些情况下也可以将其截获,因为某些易受攻击的设备不使用数据加密。 根据研究人员的说法,某些设备要求进行数据加密,尽管实际上信息是以明文形式传输的。 总共,至少有六个不同的制造商确定了15种类型的设备。 易受攻击的设备的完整列表不太可能被编译;通过应用程序的名称和部分序列号可以更容易地识别它们。
应用程序开发人员没有响应研究人员的请求,并且不太可能完全关闭此漏洞:他将不得不中断新设备的授权机制。 此外,软件开发人员的站点似乎已被黑客入侵,那里有一个脚本可将访客重定向到中国游乐场。 仅阻止通过设备访问Internet的UDP端口32100传输数据会有所帮助。
另一个“研究”的作者在寻找漏洞的道德方法上存在明显的问题。 没有通知供应商,而是名叫L&M的黑客入侵了成千上万的地理位置服务配置文件,并将信息泄露给媒体(
新闻 ,主板上的原始
文章 )。 这是ProTrack和iTrack GPS跟踪器的Web服务。
这些跟踪器通常安装在汽车中,可让您远程跟踪运动。 在某些情况下,高级功能是可能的,例如启动和停止引擎。 用于访问智能手机的数据和控制应用程序。 在浏览应用程序时,L&M发现,默认情况下,服务客户端会收到密码123456,并非所有人都更改了密码。
结果,就可以访问有关设备位置,客户真实姓名的数据,并且对于某些设备,如果汽车以每小时20公里的速度站立或行驶,则可以远程关闭引擎。 主板设法与设备的四个所有者联系,并确认未经授权而接收到的数据的真实性。 这是一个有趣且潜在危险的漏洞,但是在任何情况下,安全研究的执行方式都有些不同。
将有关D-Link DCS-2132L IP摄像机中漏洞的ESET研究(
新闻 ,公司
报告 )添加到IoT问题列表中。 专家发现,相机和控制应用程序之间的大部分数据未经加密就可以传输。 这样就可以截取视频数据,但只能使用中间人脚本或可以访问本地网络。 在后一种情况下,可以更换设备固件。
最终,Tenable Security研究人员发现了(
新闻 ,
报道 )来自多家制造商的流行无线显示器中的15个漏洞,其中包括Crestron AirMedia和Barco wePresent。 所有受影响的监视器都使用(几乎)相同的代码来无线连接计算机。 这些设备首先不需要电线连接到计算机,其次可以通过Web界面进行控制。 检查Crestron AM-100设备时发现的漏洞允许完全访问无线监视器。
在使用这种面板的情况下,此问题很有趣:它们安装在办公室中,可以访问企业的本地网络,同时可以简化来宾对面板本身的访问。 监视器设置不正确会严重破坏计算机网络的保护。 据研究人员称,该漏洞已通过软件更新部分覆盖。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。