P2P的問題韌體能輕易導致2百萬臺IoT遭駭

2021-09-20 10:18:29 字數 800 閱讀 6551

安全研究人員發現,上百家品牌的物聯網裝置包含有漏洞的p2p韌體元件,導致全球超過200萬台包括ip攝影機、智慧型門鈴、嬰兒監視器等連網裝置遭黑客劫持、竊取資料或遠端控制。這是由安全研究人員paul marrapese首先發現並揭露。受影響的裝置都包含一款由中國深圳的yunni technology所開發名為ilnkp2p的點對點(p2p)韌體元件,這款軟體讓使用者一上線就可鏈結物聯網裝置,而無需經過設定防火牆組態。研究人員發現ilnkp2p存在二項漏洞。cve-2019-11219 為一枚舉漏洞(enumeration vulnerability),可讓攻擊者迅速發現連網裝置。由於點對點技術特性,攻擊者可以繞過防火牆限制而直接鏈結任意裝置。cve-2019-11220則為驗證漏洞,即缺乏驗證機制或加密,使攻擊者得以攔截使用者到裝置間的聯機而執行中間人(mimt)攻擊,竊取裝置密碼後接管物聯網裝置,例如反過來監視使用者。

上百家品牌的物聯網裝置如ip攝影機、智慧型門鈴、webcam、嬰兒監視攝影機、dvr等都使用到這款軟體元件,估計總共超過200萬台,受影響品牌包括hichip(海芯威視)、tenvis、sv3c、vstarcam、wanscam、neo coolcam、sricam、eye sight及hvcam,多半為中國品牌,但有些也在**銷售。研究人員也列出有漏洞裝置的uid(unique identifier)碼。凡是家中攝影機產品卷標上的uid碼出現於上頭,表示可能已經中標。研究人員建議使用者換買知名品牌的裝置,因為小廠產品基本上無法更新韌體。如果無法換掉,也可以封鎖udp port 32100的對外聯機。

P2P之NAT穿透問題

stun協議 rfc3489 詳見http www.ietf.org rfc rfc3489.txt 提出了4種nat型別的定義及其分類,並給出了如何檢測 在用的nat究竟屬於哪種分類的標準。但是,具體到p2p程式如何應用stun協議及其分類法穿越nat,則是仁者見仁 智者見智。因為stun協議並沒...

P2P打洞中遇到的問題

裝置a通過一台聯通的路由器上網,裝置a通過有線連線路由器 裝置b是一台手機是移動2g 協助伺服器是電信網路 附 裝置a和裝置b經過ip.cn 測試發現各自的外網位址是 裝置a 221.4.212.2,聯通ip,相對固定 裝置b 117.136.33.128,移動ip,手機網路經常變動 但是通過伺服器...

P2P應用的困難

伺服器 客戶端模式所提供的各種各樣的互連網服務,讓我們的生活從此豐富多彩。而如果這些服務呈現在 p2p結構中會有一些什麼不同?為什麼 p2p技術會引起人們那麼多的重視?理論上,伺服器 客戶端結構能夠實現的應用在 p2p結構中也應該能夠實現。所不同的無非是伺服器的處理能力更強大,而 pc機的處理能力相...