IOT应用程序漏洞会使设备打开攻击
Microsoft Yanks Makgy Windows补丁KB 4052233,4052234,4052235
Apple升级Safari为旧版本的麦克斯
华为在2019年在挑战中,2019年的旨在更具弹性
援助工作者如何使用加密通信来保持安全区域安全
谷歌的HTC交易不会解决其最大的像素问题
政府不足以解决移动非斑点
Microsoft补丁问题持续:坏释放序列,CRM块等
微软终于在IE和Edge中禁止了SHA-1证书
在公司中采用数字学习
Apple想告诉您关于这些IOS 11的改进
小心:在Piriform的CCleaner安装程序中找到恶意软件
惠普滚动了修补程序以修复某些笔记本电脑中的键入kgging bug
沃达丰用4克无人机传播圣诞节欢呼声
DWP完成普遍信用推出
常问问题:Microsoft选取新的Windows Server升级蓝图
Mozilla停止对Windows XP和Vista的Firefox所有支持
谷歌在其Android-Chrome OS对齐上调整了气体
企业缺乏对抗持续网络攻击的能力
Project XCloud:Microsoft借鉴了Azure,用于设备无关的游戏推动
APAC医疗保健提供商收获数字转型返回
OpenStack Foundation Hails开放和包容性软件开发的创新效益
微软承诺修复了几个长期的表面问题
微软的最新补丁带来了许多窗户和办公室修复和许多混乱
访问全光纤宽带继续扩大沃达丰 - CityFibre合作伙伴关系
政府在GOV.uk核实数字身份系统的投资
英国可以做更多的事情来探索量子技术的潜力
Apple挑战澳大利亚拟议的解密法
Apple的Android升级Jabs带有一个关键的警告
巴黎最新的城市加入科技全球倡导者
英国竞争看门狗关注PayPal的Fintech收购
CDN工程师说,现在已经升级到TLS 1.3了
富士通力向企业重组推进
为什么IT基础设施方法需要现代化
Stem公司运行英国国家计算教育中心
Facebook吸引爱尔兰至尊法院的欧盟 - 美国数据转让裁决
回声谁?谷歌刚刚回到了生产力推动力
邮局高管在地平线IT系统试验中交叉检查
在挪威试验的邮政交付机器人
技术在CBI预算前愿望清单中占据中心舞台
我们站在凌乱的9月Windows和.NET修补程序中
Microsoft确认停滞下载,Win10中的虚假错误FCU更新KB 4054517
SAP客户体验Live 2018:SAP介绍了C / 4 HANA努力
企业在六个月内获得锁定的Windows 10
卡巴斯基推进计划鼓励妇女进入网络
iOS 11 vs.Android 8.0:哪个更好?出色地...
Mozilla Execs Clash在Firefox是否有未来
三星详细介绍新的Tizen OS,为智能家用电器,IOT设备
胜利摩托车踢 - 开始变化高科技人力资源
政府授予300,000英镑,选择创业公司作为开放数据竞争的一部分
您的位置:首页 >电子新闻 >

IOT应用程序漏洞会使设备打开攻击

2021-08-19 17:44:01 [来源]:

企业和消费者有权了解与互联网连接的设备的安全姿势,弥补事物互联网(IOT) - 以及制造商应负责负责。

这是贝拉鲁加网络的安全研究人员的看法,审查了互联网连接的安全摄像机,以说明IoT凭证妥协的不断增长的安全威胁。

该研究表明,可以利用IOT设备的Web和移动应用程序中的漏洞来窃取凭证并泄露相关的设备。

如果没有任何直接连接设备本身,该团队能够识别相机的Web应用程序和移动应用程序生态系统中的多个漏洞。

研究人员表示,这种威胁可能会影响其他类型的IOT设备,因为它利用了设备与云通信的方式。

出于这个原因,Barracuda认为IOT产品应该不断得分,并且他们的安全姿势与机动车安全评级相同的方式出版,以使企业和消费者在选择产品时做出明智的决策。

研究人员注意到,尽管有所改善是为了响应关于物联网设备的安全风险而令人担忧的疑虑,但仍然存在漏洞。

特别是,Barracuda Labs团队突出了IoT凭证妥协的威胁,通过显示攻击者可以在Web应用程序中使用漏洞以及某些物联网设备使用的移动应用程序来获取凭据,然后可以用于查看视频源,设置/接收/删除警报,从云存储中删除已保存的视频片段,并读取帐户信息。

攻击者还可以使用凭据将自己的固件更新推向设备,更改其功能并使用受损设备攻击同一网络上的其他设备。

由研究人员确定的主要漏洞包括:

移动应用程序忽略了服务器证书有效性。在Web应用程序中可以进行跨站点脚本(XSS)攻击。在云服务器中,文件目录遍历。用户控件设备更新链接。设备更新未签名。设备忽略服务器证书有效性。

研究人员警告说,如果攻击者可以通过使用受损或敌对网络拦截到移动应用程序的流量,可以轻松获取用户密码。

当受害者使用手机连接到受损/敌对网络时,连接的相机应用程序将尝试通过HTTPS连接到供应商的服务器。敌对/受损网络将路由连接到攻击者的服务器,它将使用自己的SSL证书来代理供应商服务器的通信。攻击者的服务器现在拥有一个Unstally,MD5散列的用户密码。攻击者还可以篡改供应商服务器和应用程序之间的通信。

从Web应用程序获取凭据依赖于允许用户与其他用户共享连接相机的设备访问的功能。要共享设备,接收器需要与IOT供应商拥有有效的帐户,并且发件人需要知道接收者的用户名,这会发生电子邮件地址。然后,攻击者将在设备名称中嵌入XSS漏洞,然后与受害者共享该设备。

一旦受害者使用Web应用程序登录他的帐户,XSS漏洞就会使用攻击者执行并共享访问令牌(在Web App上存储为变量)。通过该访问令牌,攻击者可以访问受害者的帐户和所有注册设备。

通过这项研究,Barracuda Labs团队设法损害了互联网连接的相机,而不会与设备本身直接连接。

研究人员说,这使得攻击者更容易生活。不再需要扫描Shodansearch引擎,以便易受攻击的设备,因为攻击将针对供应商的基础架构执行。

研究人员强调,漏洞并不是产品所固有的,而是处理开发人员的过程,技能和意识。由于IOT设备的访问和访问控制转移到云服务,因此漏洞所呈现漏洞,可能会使Barracuda Labs团队未发现的攻击类型。

据研究人员来说,供应商创建物联网产品和服务需要保护用于运行这些设备的应用的所有方面,包括在办公室,家庭和学校分配的传感器,使其成为攻击者的潜在入学点。

研究人员表示,AWEB应用防火墙 - 最关键的保护之一IOT供应商需要放在地位 - 旨在保护服务器从第7层(应用层)的HTTP流量保护服务器。他们说,制造商还需要增加防止网络层攻击和本培训。

研究人员表示,云安全也很重要,因为它提供了IOT应用程序的可见性,保护和修复,以及他们运行的基础架构。研究人员表示,横向运动曝光的潜力是大而复杂的,因此采取适当的安全预防措施是关键。

在购买IOT设备时,研究人员表示企业和消费者需要考虑安全性,以及便利性和价格。他们建议买家:

一些生产IOT设备的公司了解软件安全性。大多数是现有公司,其专业知识在于制作正在连接的物理产品,或者启动尝试尽快将设备带到市场。研究人员表示,在这两种情况下,往往忽略了适当的软件和网络安全措施。

如果一个设备具有漏洞,研究人员称,它可能是来自同一公司的类似功能的其他设备也易受攻击。最终,具有安全设备历史的供应商可能会建立前进的安全设备。

研究人员表示,如果供应商对报告漏洞的人员响应于报告漏洞并迅速将其解决它,它为其制造的安全和未来产品的展望而言。

他们注意到,遗憾的是,关于物联网设备的安全姿势的信息量很低。他们说:“理想情况下,我们需要了解IOT产品的全部均得到安全评级,”他们说。

在本月早些时候将在本月早些时候发布的IoT Secury Bust,Digital Security Compero Gemalto出版了一项调查表明,只有48%的欧洲公司可以检测何时违反了任何互联网连接设备。在英国,该P跌至42%,在法国之后的欧洲第二最低价,只有36%的公司调查说,他们可以检测他们是否有任何物联网设备遭受违规行为。

评论Gemalto的数据保护的CTO调查结果,杰森霍特,在Gemalto的数据保护中表示,没有指导行业的一致规则,威胁和企业的脆弱性令人惊讶的是令人惊讶的是。

“这只会继续否则政府现在迈出帮助行业避免失去控制,”他说,虽然英国的新的实践守则迈向保护IOT的良好第一步,直到这些是必要的所有组织都被迫遵守它们。

2018年11月,物联网安全研究员肯蒙德还呼吁政府Actionatiema Isse 2018年Chussels中的安全大会。

像哈特一样,他说英国的实践准则是一个很好的开始,但Munrol认为还有很长的路要走,他希望看到一些基本的监管。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。