在本文中,給出5個曾經被爆出的存在安全漏洞的例項,可以看到lifx wi-fi燈泡是涉及到如何裝置韌體安全,而其餘幾個都與可連線裝置的安全方案的部署有關。
1 兒童智慧型手錶
2023年,挪威消費者委員會測試了gator 2,tinitell,viksfjord和xplora四款智慧型手錶,發現黑客可以利用其中三隻手錶的安全漏洞,讓他們與戴著它們的孩子交談,甚至欺騙他們的位置,讓父母認為他們實際上在某個地方。而該漏洞的主要原因是這些裝置在傳輸和儲存資料時並未加密資訊。
2 兒童智慧型手錶safe-kid-one
2023年,歐盟委員會已下令召回一款專為兒童設計的智慧型手錶(德國公司enox生產的safe-kid-one手錶),原因是擔心該智慧型手錶對其使用者構成潛在的嚴重風險。
根據rapex報告,該手錶的配套智慧型手機應用「與後端伺服器的通訊未經加密,並且該伺服器允許未經身份驗證的資料訪問」。這意味著可以輕鬆地檢索和更改位置歷史記錄,**號碼和序列號等資料。
這可以使使用者向任何手錶傳送命令,使其撥打另乙個號碼,與戴著裝置的孩子進行通訊,並且也許最令人擔憂的是,通過gps定位孩子。該報告建議終端使用者召回該產品。
**3 小公尺m365 摺疊電動滑板
根據the hacker news,小公尺m365電動踏板車可以使用移動應用程式通過藍芽來互動,藍芽通訊使用密碼加密,從而使其騎手可以與踏板車安全地進行遠端互動,但研究人員發現,在互動認證過程中,該密碼並沒有被正確的使用從而導致非法踏板車可以執行非加密命令。
通過利用此問題,攻擊者可以執行以下攻擊方案:
鎖定踏板車:
一種拒絕服務攻擊,攻擊者可以在流量中間突然鎖定任何m365踏板車。
部署惡意軟體:
由於該應用程式允許騎手遠端公升級踏板車的韌體,因此攻擊者還可以推送惡意韌體以完全控制踏板車。
針對性攻擊:
剎車/加速,遠端攻擊者甚至可以瞄準單個騎手,並導致踏板車突然剎車或加速。
4 lifx wi-fi燈泡
2023年,limitedresults 公布了lifx mini白色燈泡的拆解過程,根據其報告:
wifi網路密碼以純文字格式儲存到韌體中
燈泡的根證書和rsa私鑰也以純文字形式出現在韌體中,並且裝置是完全開啟的-沒有安全啟動,沒有快閃儲存器加密以及完全啟用了除錯介面
有了根證書以及私鑰,就能合法的接入雲,可以合法的與其他裝置溝通,這僅僅是通過乙個簡單的燈泡就能實現。
5 黑客利用金鑰卡漏洞竊取了特斯拉model s
兩個小偷接近特斯拉,並使用裝置「監聽」金鑰卡(車鑰匙)不斷廣播的無線電id。接下來,他們攔截了來自金鑰卡的兩個回傳廣播,通過資料庫以確定加密**,然後瞧瞧!他們可以使用汽車。(乙個小偷開門只用了45秒鐘就開啟了出門,而另外乙個天才幾分鐘才弄清楚如何拔下充電電纜)
後續更多解析
蘋果被爆存在安全漏洞 無密碼可自由出入裝置操作
在上一周,就有安全公司發現macos high sierra系統存在安全漏洞問題,其他使用者無需使用密碼就可以進出操作裝置,該漏洞的存在會影響到一些iphone和ipad裝置。其中一名安全工程師表示,未得到裝置的授權只需要在使用者登入介面的使用者名稱輸入 root 就可以不再需輸入密碼就可以隨意 進...
藍芽協議爆嚴重安全漏洞 影響53億裝置
據外媒報道稱,物聯網安全研究公司armis在藍芽協議中發現了8個零日漏洞,這些漏洞將影響超過53億裝置 從android ios windows以及linux系統裝置到使用短距離無線通訊技術的物聯網裝置,利用這些藍芽協議漏洞,armis構建了一組攻擊向量 attack vector blueborn...
移動裝置感染率及物聯網裝置安全漏洞數量創下歷史新高
諾基亞近日發布最新 威脅情報報告 報告顯示,移動裝置惡意軟體感染率創下歷史新高,受攻擊智慧型手機及主要物聯網裝置安全漏洞的數量出現大幅增長。諾基亞威脅情報報告 每年發布兩次,通過對連線移動及固定網路的裝置進行調查,得出惡意軟體感染情況的總體趨勢與資料。最新報告顯示,2016年全年的移動裝置感染率穩步...