亚马逊环视频门铃缺陷离开用户开放攻击
MPS表示,修复银行问题所需的强大法规
瑞典的第一个GDPR精细套装调节基调
IR35改革:Lloyds银行承包商终止未来就业状况
政府提供促进人工智能技能
ABN AMRO调查将荷兰银行的减免重量减肥
盟友爱尔兰银行为数字转型选择云平台
数字转换需要连续的方法来改变
澳大利亚政府没有生理云市场
人才短缺阻碍了英国业务数据分析努力
谷歌员工请愿云巨头与美国边境队机构合作
Trickbot Trojan切换到Stealthy Ostap下载器
网络罪犯劫持合法的网站Comms
英国公司取得其停机费用
Home Office Brexit App最终可用于iPhone
APAC企业如何跟上集装箱安全性的步伐
荷兰监管机构揭示了潜在的Microsoft隐私违规行为
HMRC无法让新的海关系统为Brexit准备
为什么CIO在购买IT支持时应采取额外的预防措施
英国的数字挑战银行到三重客户群
英国企业仍然忽视人类的安全性
由于客户需求加速,Fintech Lender将增加贷款限额
所有变化:有多大数据可以震动云策略和对边缘环境的需求
澳大利亚公司首次亮相智能板球球
尽职调查需要灵活,标准化的方法
微软声称中国游戏的AI突破
Oracle Q1,2019-2020:收入公寓,云进步vaunted
攻击者在点击欺诈活动中寻找iPhone越狱
英国议会依据网络安全变更计划
英国政府依据公共汽车开放数据门户网站
英国科技部门看到外商投资激增
Qlik如何在澳大利亚推动数据革命
丹麦MobilePay应用程序远离大型机
德意志银行设立创新司以推动数字转型
NHS Digital宣布了GP IT期货框架的供应商
未来解码:AI Plus Automation如何增加转型变化
政府能够缓解移动网络规划法律
政府货架在线色情片段核查计划
GDPR合规性:谁的工作是它,这是真的有可能吗?
Fintech流体地结合了谷歌的云和AI Tech,以便于中小企业现金流管理困境
报告要求紧急更换健康筛选
NHS电子处方推出达到2021英镑的薪水300米
扎克伯格的导师谴责Facebook的商业实践
欧洲派对市场为另一个突破性的年份设定,但伦敦市场增长放缓
沃里克郡县议会部署Microsoft云生产力套件
Beis推出百万英镑的安全投资包
网络铁路在隧道检查和站安全中使用自动化和分析
联合国机构联合国儿童基金会赞扬对意外数据泄漏的反应
英国财务监管机构为公司提供额外的时间,以满足支付安全规则
不到四分之一的Fintechs为No-Deal Brexit准备
您的位置:首页 >电子新品 >

亚马逊环视频门铃缺陷离开用户开放攻击

2021-09-04 17:43:58 [来源]:

根据Bitdefender的威胁研究人员,亚马逊的戒指视频门铃股票(物联网)的东西的漏洞。

Bitdefender发现,环形视频门铃Pro的Companion SmartPhone应用程序在设置和配置阶段以纯粹的HTTP语言发送无线网络凭据。Bitdefender表示,缺陷意味着攻击者可以将用户欺骗,以相信门铃通过重复定位具有去认证消息的设备而失去故障,以便从Wi-Fi网络丢弃。

要恢复全功能,则用户将必须重新调用设备,此时将凭据净化。

“去认证过程很简单,”Bitdefender威胁研究总监Bogdan Botezatu说。“Wi-Fi去认证攻击是一种拒绝服务攻击的类型,其针对用户与Wi-Fi无线接入点之间的通信。Wi-DFI协议包含一个“去认证帧”,它通知收件人(在这种情况下,门铃)它们已从基站断开连接

“攻击者可以随时向无线设备发送验证帧。一旦设备丢失其“心跳”,它会自动进入配置模式。“

随后对亚马逊云服务的通信在验证服务器证书时使用HTTPS,使此类攻击不可能超出配置阶段,但如果Wi-Fi凭据已成功拦截,则攻击者可以与连接到网络的任何设备交互,访问本地存储,如消费者NAS驱动器窃取数据,利用漏洞控制其他连接设备,或访问IP安全摄像头。

“不幸的是,只有用户可以做的,以保护自己免受IoT设备中的漏洞,”Botezatu说。

“亚马逊非常开放,以调查报告,并及时为该问题提供修复。我们在漏洞窗口期间保持联系,并协调披露,以确保在发布我们的调查结果之前修补易受攻击的设备。“

Bitdefender表示,它于2019年6月20日首次接近亚马逊,并获得了一个PGP密钥,因此它可以通过安全频道发送漏洞的细节。然后邀请它通过亚马逊的Hackerone错误赏金计划报告。在两者之间的某些来回之后,在9月5日部署了部分修复。

“所有戒指门铃Pro摄像机已收到一个修复所描述的问题的安全更新,”在其公开中的Bitdefender。“我们感谢戒指团队的努力,以减轻这个问题并使客户保持安全。”

这是最近几个月的第二次,与亚马逊相关的物联网产品有关与最终用户安全性有关的原因,突出了较宽的行业对IoT设备的安全的原因。

10月,ESET警告说,许多亚马逊回声和Kindle设备对不同的Wi-Fi漏洞保持开放,这也是通过利用WPA2无线安全协议中的四通握手来定向网络凭据的关键重新安装攻击(Krack攻击)当设备尝试加入受保护的无线网络时执行。

KRACK攻击使攻击者能够欺骗设备重新安装另一个设备已使用的密钥,使其能够获得交叉网络的数据包的可见性。

然而,与环形配置缺陷一样,成功执行要求攻击者在物理上接近受害者的网络,这意味着如果他们完全发生了,这意味着在野外的利用已经很小。

然而,这一事实是,这么多设备在两年前首次识别的缺陷仍然是一个及时提醒最终用户的事实,以确保他们在第一个机会修补他们的设备。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。