报警铃声,物联网正在倾听
随着节日季节的方法,已经在流行的东西(物联网)设备(IOT)设备中发现了许多缺陷,提示更新对消费者安全的警告,数百万人在树下找到某种智能设备。
在易受攻击的产品中,凯旋WEMO Insight开关插头插座,亚马逊的眨眼XT2家庭安全摄像机,以及令人担忧的儿童玩具。
F-Secure的安全顾问Krzysztof Marciniak表示,它开发了Keywe Hack,他表示,他一直很容易绕过产品的保护机制,以拦截通过它与其伴随的智能手机应用程序之间的解锁密码以及许多其他漏洞对攻击者进行利用相对简单。
KeyWe产品还包含一个相当严重的漏洞,因为它无法接收固件更新,因此无法修复原始漏洞。这意味着已经购买它的人应该取代它,或者生活在风险中。
“没有办法减轻这一点,所以访问受锁保护的房屋是安全赌注,安全赌注能够复制黑客攻击,”马克尼克斯说。“所有攻击者都需要有点专有技术,帮助他们捕获流量的设备 - 这可以从许多消费电子商店购买,只需10美元 - 以及一些时间来找到锁业主。”
F-Secure表示,它扣留了一些在漏洞中普遍释放的一些重要技术细节,即该泄漏是不可实现的。
“安全不是一个尺寸适合所有人,”马克尼克斯说。“需要量身定制,以解释用户,环境,威胁模型等。这样做并不容易,但如果IoT设备供应商将要运送无法接收更新的产品,则构建这些设备从头开始安全。“
同时,Bitdefender的研究人员在Belkin Wemo Insight Switch中发现了两种漏洞 - 现在已经修补了。
本产品将设备和电子设备连接到国内Wi-Fi网络,使用户能够打开或关闭,程序定制通知,设置儿童使用的规则和权限,并监控电力消耗,所有来自智能手机。
然而,它太基本地将黑客敞开的门进入家庭网络,并且随着传统的反恶意软件产品通常没有检查IOT设备,受害者将忘记Bitdefender。
由于设备通过HTTP通信而不需要身份验证,因此网络上的任何设备都可以发送命令或查询插头以获取信息。该团队发现基于堆栈的缓冲区溢出漏洞,当与缺乏身份验证结合时,可以允许Wi-Fi网络上的攻击者在目标设备上获取代码执行。
此外,给定对插头的物理访问,攻击者可以通过中断引导过程并修改引导参数来覆盖其root密码来获得对其文件系统的root访问。
这将开辟可能性,例如种植后门以远程嗅探联系,映射消费者行为,以及人们在家里或不进行评估。
Bitdefender强调,作为当地攻击,攻击者需要在设备的网络内部存在,这自然有限制剥削的可能性,但有几种情景,攻击者可以使用它来合法地加入公共Wi-Fi网络。
在亚马逊的眨眼XT2安全摄像机系统中,特定的威胁研究人员出土了七个严重的漏洞,可能会让攻击者完全控制设备,让他们查看相机镜头并收听音频,并将设备加工进入IOT僵尸网络用于进行分布式拒绝服务(DDOS)攻击或垃圾邮件广告系列的排序。
发现最严重的脆弱性是命令注入漏洞,它源于闪烁的云通信端点中的同步模块更新,用于将更新推向设备或获取网络信息。
根据披露的良好做法,缺陷现已被修补,但在2018年销售的超过5000万级智能家居摄像机(来自各种品牌),那里将不可避免地将更加无抵押的设备。对于闪烁XT2所有者,确保将设备更新为固件2.13.11或更高版本至关重要。
“与眨眼摄像机一样,所连接的设备无处不在。因此,恰恰是,网络犯罪分子致力于妥协,“谴责Deraison,联合创始人和CTO在宗旨,正在努力建立它希望是行业中最大的脆弱性情报知识库 - 在写作时它已经发现了今年100张零日漏洞。
与此同时,消费者倡导小组有同时暴露了亚马逊,Argos,John Lewis和Smyths在英国销售的智能玩具中的一些严重缺陷。
在NCC集团的威胁猎人工作,哪个?发现许多玩具缺乏基本安全,让他们开放被砍成,并且可能危及孩子们的幸福。
例如,VTECH Chegear Walkie Talkie使有人能够与最多200米的儿童开始双向谈话。两台卡拉OK产品测试,XPassion / Tenva的卡拉OK麦克风和歌唱机的歌唱机SMK250PP缺少任何蓝牙身份验证,允许将录制的消息发送到设备。
在其他地方,互动人工智能机器人,拳击手机机器人和马特尔的Bloxels板游戏和在线门户网站被发现有策略问题让他们开放到黑客攻击,因为用户不必为他们的在线帐户创建强密码。这也影响了歌唱机和Sphero的Mini Robot,这是一个讽刺的控制机器人球,旨在帮助儿童学习代码。
此外,Matter Bloxels和Sphero Mini没有过滤器,以防止上传到其在线平台的攻击性语言或显式图像。
哪一个?联系了每个制造商,但接受了不同的响应,并且VTECH指出,其对讲机使用行业标准AES加密,而且手机设备无法自己发起配对过程,而是需要两个设备同意在30秒窗口内配对。
但是,其他人并非如此,特别是Tenva,XPassion卡拉OK产品的卖方,似乎是一个基于曼彻斯特的亚马逊卖家。哪一个?说它即使在亚马逊的帮助下也无法联系卖家。
Srinivasan CR,Tata Communications首席数字人员和IOT安全的专家表示,可解决的玩具可能更有可能导致攻击者违反家庭网络窃取个人数据或财务细节,而不是导致美容事件或虐待儿童。
尽管如此,他补充说,连接玩具的制造商仍然需要注意安全性,即使最糟糕的情况不太可能发挥出来。
哪一个?鉴于在数字,文化,媒体和运动部(DCMS)部门安全的一年前的一年前,其调查结果特别关注。
它表示,它测试的大多数制造商都未能注册该代码,并在下一个政府上呼吁使其成为IoT设备制造商的法律要求,以确保其产品符合适当的标准,以便在英国销售。
它还敦促该行业通过引入默认的基本安全功能,例如严格的密码要求,数据加密和更新和修补程序来确认发行更好的工作。
娜塔莉哈奇,哪个?主页产品和服务负责人表示:“虽然没有否认巨大的福利,但智能小工具可以带来我们的日常生活,用户的安全和安全性应该是绝对优先级。
“下一步政府必须确保制造商设计有关安全性的连接技术,如至最高版本,如果要防止在人们家中的未充分的产品。”
Hitchins还呼吁父母承担一些责任,妥善研究玩具,然后在购买他们之前,看看他们实际做些什么并在线尽职调查,以学习如果先前已经涉及任何问题。
父母也可能希望尽量避免廉价产品,从非品牌供应商和未知的卖家。
Max Heinemeyer,Darktrace威胁狩猎总监突出了对IOT的安全,隐私和安全威胁的规模。他说:“IoT的爆炸和安全问题这介绍了迫使我们重新思考我们如何做安全。我们需要一种彻底不同的网络安全方法,具有人工智能。
“现实是,从手机到智能玩具的所有互联网连接设备都在某种程度上脆弱。”
“与拥有超过10年的安全创新和进化的PC和智能手机不同,因为IoT设备在其初期。一些智能家居产品和连接的玩具并不设计用于保持黑客希望持有的明显敏感数据,因此尚未完全形成这些设备上的安全标准,“SRINI CR在TATA。
“此外,该行业仍在开发和整理研发,以找到确保这些设备的最佳方式,但不会影响其功能和易用性。”
“消费者的建议是进行他们的研究,浏览信誉良好的网站的评论,只能购买来自可信赖的零售商和制造商的产品,检查规格,以确保它们具有强大的内置安全性。他们还建议与制造商有关其安全政策,并从互联网服务提供商[ISP]寻求建议。
“然而,消费者不能预期承担所有的负担。他说,制造商和ISP是制造商和ISP的责任,以确保这些信息很容易获得,以便可以易懂,“他说。
寓言的Deraison补充说:“物联网设备的制造商有机会,有义务确保从一开始就烘焙进入整体设计,而不是将其作为事后的螺栓固定。当有问题的设备是安全摄像头时,这尤其重要。“
Synopsys的高级安全战略家Jonathan Knudsen还要求通过设计更加注重安全性。
“从长远来看,当然,在产品开发期间忽视安全始终以泪水结束 - 或者在这种情况下,头条标题不良,”Knudsen说。“忽略安全的长期后果将始终超过短期收益。Savvy制造商使用安全的开发生命周期(SDLC),以最大限度地减少创建软件产品时的风险。“